CSRF 跨站請求偽造

2021-09-25 01:12:07 字數 920 閱讀 1416

csrf(cross site request forgery),中文是跨站請求偽造。csrf攻擊者在使用者已經登入目標**之後,誘使使用者訪問乙個攻擊頁面,利用目標**對使用者的信任,以使用者身份在攻擊頁面對目標**發起偽造使用者操作的請求,達到攻擊目的。

舉個列子

假如a站為受信任的銀行**,其中有個銀行轉賬的表單;b站為黑客**,其中有個頁面帶有偽造a站銀行轉賬表單提交的請求,當使用者登入a站後,在不退出的情況下,再去訪問b站,就會向黑客指定賬戶轉賬。

a站**(這裡通過表單提交文字內容模擬銀行轉賬)

index.php 控制器檔案

<?php

namespace controller;

use mini\controller;

class index extends controller}}

/*** 表單提交頁面及展示提交的內容

*/public function index()

//session_destroy();

var_dump($_session['content']);

$this->display();

}/**

* 使用者登入介面及操作

*/public function login()

else

}else

}}

login.html 登入檢視

index.html 表單提交檢視

b站** (這裡通過iframe隱式提交偽造的表單)

hacker.html

test

跨站請求偽造 CSRF

跨站請求偽造 csrf 顧名思義就是在其他非法 呼叫了正常 的介面,攻擊的方法是在頁面中包含惡意 或者鏈結,攻擊者認為被攻擊的使用者有權訪問另乙個 如果使用者在那個 的會話沒有過期,攻擊者就能執行未經授權的操作。大多數 rails 程式都使用 cookie 儲存會話,可能只把會話 id 儲存在 co...

CSRF跨站請求偽造

前面說到xss跨站指令碼攻擊,現在來個複雜度更高一點的csrf跨站請求偽造 首先說一下rsrf的幾個要點 1.rsrf是通過各種方法 站內發布鏈結,qq郵箱發布鏈結等 讓登入使用者觸發請求,在使用者不覺察的過程中對使用者資料進行篡改,進而實現攻擊 2.通過xss可以獲取到使用者的session id...

csrf跨站請求偽造

什麼是csrf xsrf csrf概念 csrf跨站點請求偽造 cross site request forgery 跟xss攻擊一樣,存在巨大的危害性,你可以這樣來理解 攻擊者盜用了你的身份,以你的名義傳送惡意請求,對伺服器來說這個請求是完全合法的,但是卻完成了攻擊者所期望的乙個操作,比如以你的名...