csrf是什麼?
csrf(cross site request forgery),中文是跨站點請求偽造。csrf攻擊者在使用者已經登入目標**之後,誘使使用者訪問乙個攻擊頁面,利用目標**對使用者的信任,以使用者身份在攻擊頁面對目標**發起偽造使用者操作的請求,達到攻擊目的。
舉個例子
簡單版:
假如有個加關注的get介面,bloguserguid引數很明顯是關注人id,如下:
那我只需要在我的一篇博文內容裡面寫乙個img標籤:那麼只要有人開啟我這篇博文,那就會自動關注我。
公升級版:
假如還是有個加關注的介面,不過已經限制了只獲取post請求的資料。這個時候就做乙個第三方的頁面,但裡面包含form提交**,然後通過qq、郵箱等社交工具傳播,**使用者去開啟,那開啟過的使用者就中招了。
在說例子之前要糾正乙個iframe問題,有人會直接在第三方頁面這樣寫。如下:
doctype html>csrf showtitle> head>
Web安全之CSRF攻擊
源文位址 csrf是什麼?csrf cross site request forgery 中文是跨站點請求偽造。csrf攻擊者在使用者已經登入目標 之後,誘使使用者訪問乙個攻擊頁面,利用目標 對使用者的信任,以使用者身份在攻擊頁面對目標 發起偽造使用者操作的請求,達到攻擊目的。舉個例子 簡單版 假如...
Web安全之CSRF攻擊
跨站點請求偽造 cross site request forgery 攻擊者盜用合法使用者的身份,傳送惡意請求到伺服器,然而對伺服器來說,請求是完全合法的,於是伺服器在完全不知情的情況下完成了攻擊者所期望的操作。首先使用者瀏覽並登入了受信任站點a,通過站點a驗證後,授權資料儲存在站點a產生的cook...
web安全(xss攻擊和csrf攻擊)
1 csrf攻擊 csrf cross site request forgery 跨站請求偽造。1 攻擊原理 如上圖,在b 引誘使用者訪問a 使用者之前登入過a 瀏覽器 cookie 快取了身份驗證資訊 通過呼叫a 的介面攻擊a 2 防禦措施 1 token驗證 登陸成功後伺服器下發token令牌存...