Web信息安全实践_3.3 CSRF原理

2021-04-24 05:27

阅读：541

标签：oss 访问 site ora display tac range 浏览器 lin

什么是 CSRF

Cross-site request forgery( 跨站请求伪造 )

CSRF 利用服务器对用户浏览器的信任
被攻击网站依赖用户的身份认证
攻击者使得用户的浏览器发送 HTTP 请求到目标网站

CSRF 的步骤（用户浏览器主动完成）

攻击者确定目标网站（存在CSRF漏洞的网站：目标网站基于cookie的身份认证）
在目标站点找到表单，或者可以提交请求的 URL ，并构造攻击页面或URL

使用get方式提交表单：所有的参数直接显示在URL中，只要构造相关URL就可以了，

为所有表单或 URL 的需要的输入提供正确的值（伪造出表单所需要的数据）

e.g. 发送多少个coin，发送给谁，submit值

攻击者诱使受害者访问攻击页面或发出 URL

e.g.

用户登录myzoo.com，同时被诱使访问了attacker.com
attacker.com向服务器发送请求（攻击者网站伪造用户发出，用户毫不知情）

浏览器向myzoo.com发送请求：浏览器不管请求是从myzoo.com页面发出，还是从attacker.com页面发出，都会携带cookie（利用浏览器行为）

服务器接收请求，验证身份，执行操作

其他请求伪造

img、a(anchors)可以向外发出请求。对于get方式提交的表单，可以构造img或anchorsr把请求发出去。

Web信息安全实践_3.3 CSRF原理

标签：oss 访问 site ora display tac range 浏览器 lin

原文地址：https://www.cnblogs.com/tianjiazhen/p/12235603.html

上一篇：JS构造函数原理与原型

下一篇：[Paper Review]Distilling the Knowledge in a Neural Network,2015

文章来自：搜素材网的编程语言模块，转载请注明文章出处。
文章标题：Web信息安全实践_3.3 CSRF原理
文章链接：http://soscw.com/index.php/essay/78800.html

评论

亲，登录后才可以留言！

关于我们 | 版权声明 | 常见问题 | 素材投稿 | 联系我们 | 网站地图 |

搜素材网素材除本站原创外均由用户分享，若发现权利被侵害，请联系及时联系我们，我们会在第一时间进行处理。

特别说明：本站所有资源除本站原创外仅供学习与参考，请勿用于商业用途,如有侵犯您的版权请联系客服服务QQ：

点击这里给我发消息

Copyright © 2024 soscw.com 搜素材网素材网版权所有蜀ICP备18015633号-1