web安全 跨站請求偽造(CSRF)

2021-10-02 03:31:46 字數 996 閱讀 2960

0x00 簡介

- csrf攻擊滿足的【必要】條件:

• 使用者 c 登入受信任** a,並在本地生成 cookie;

• 在不登出 a 的情況下,訪問危險** b

0x01 csrf舉例:

用虛擬的銀行轉賬操作的例子演示csrf的攻擊過程:

• 使用者 c 先登入銀行** a(a **會在瀏覽器本地生成cookie);

• 使用者 c 不關閉 a,新開乙個瀏覽器標籤頁緊接著再訪問危險** b

(** b 中載入的會向** a 傳送乙個轉賬請求,這個請求帶

著銀行** a 的cookie);

• 使用者 c 的 1000 元錢在 c 不知情的情況下被轉到了黑客的賬戶中。

0x02 crsf的預防

檢查http請求頭部的 referer 字段,該欄位標明請求**url

0x03 dvwa裡的csrf分析

0x04 csrf好文推薦:

關於dvwa裡的csrf《寫的很詳細》

跨站請求偽造 CSRF

跨站請求偽造 csrf 顧名思義就是在其他非法 呼叫了正常 的介面,攻擊的方法是在頁面中包含惡意 或者鏈結,攻擊者認為被攻擊的使用者有權訪問另乙個 如果使用者在那個 的會話沒有過期,攻擊者就能執行未經授權的操作。大多數 rails 程式都使用 cookie 儲存會話,可能只把會話 id 儲存在 co...

CSRF跨站請求偽造

前面說到xss跨站指令碼攻擊,現在來個複雜度更高一點的csrf跨站請求偽造 首先說一下rsrf的幾個要點 1.rsrf是通過各種方法 站內發布鏈結,qq郵箱發布鏈結等 讓登入使用者觸發請求,在使用者不覺察的過程中對使用者資料進行篡改,進而實現攻擊 2.通過xss可以獲取到使用者的session id...

CSRF 跨站請求偽造

csrf cross site request forgery 中文是跨站請求偽造。csrf攻擊者在使用者已經登入目標 之後,誘使使用者訪問乙個攻擊頁面,利用目標 對使用者的信任,以使用者身份在攻擊頁面對目標 發起偽造使用者操作的請求,達到攻擊目的。舉個列子 假如a站為受信任的銀行 其中有個銀行轉賬...