一、csrf簡介
csrf(cross-site request forgery)跨站請求偽造,也被稱為「one click attack」或者「session riding」,通常縮寫為csrf或者xsrf,是一種對**的惡意利用。儘管聽起來像跨站指令碼(xss),但它與xss非常不同,並且攻擊方式幾乎相左。xss利用站點內的信任使用者,而csrf則通過偽裝來自受信任使用者的請求來利用受信任的**。與xss攻擊相比,csrf攻擊往往不大流行(因此對其進行防範的資源也相當稀少)和難以防範,所以被認為比xss更具危險性。
二、csrf原理
下面用乙個例子來演示一下csrf的原理
內容為這就是一次簡單的csrf。
同樣的,攻擊者也能會誘使使用者填寫自己的個人資訊,比如銀行卡號密碼,支付寶賬號密碼之類的,最後造成使用者的財產遭受損失。
三、csrf防禦
1.驗證碼
驗證碼被認為是對抗csrf攻擊最簡潔有效的防禦方法。
2.referer check
referer check可用於檢查請求是否來自合法的「源」,常見的網際網路應用中,頁面與頁面之間都有一定的邏輯關係,這就使得每個正常的referer具有一定的規律。根據這個規律可以判斷頁面的跳轉是否合法。
3.anti csrf token
業界針對csrf的防禦,一致的做法是使用乙個token。
資訊保安學習筆記
密碼學 1.受限制的演算法 演算法的保密性基於保持演算法的秘密 2.基於金鑰的演算法 演算法的保密性基於對金鑰的保密 3.分組密碼 將明文分成固定長度的組,用同一金鑰演算法對每一塊加密,輸出也是固定長度的密文 4.流密碼 有成序列密碼,每次加密一位或者乙個位元組的明文 5.凱撒密碼的密文空間是26,...
資訊保安學習筆記 1
菜鳥最近上了一本資訊保安的課程,現在打算做做筆記,整理所學知識.首先是資訊保安的目標 機密性,完整性 可用性 可控性 不可否認性 機密性 意思就是資訊被該知道的人知道,不被不該知道的人的知道 完整性 是指資訊的完整性,不可以被破壞 可用性 資訊對於已經被授權的人應該是可用的 可控性 資訊的傳播和內容...
資訊保安學習筆記 3
資訊保安的目標之中有乙個完整性.完整性 是指資訊不被非法篡改,針對完整性,有一種函式 雜湊函式,雜湊函式的特點是 1.單向密碼體制,只有從明文到密文的對映,而不會有對應 的逆對映,也就是說只有加密的過程,不存在解密.2.輸出是固定長度的密文.無論明文的長度是多少,輸出的 密文都是固定長度的.雜湊函式...