跨站点请求伪造攻击

原创 2016年08月28日 16:28:57

1. 跨站点请求伪造攻击(CSRF)是属于伪造客户端请求的一种攻击方式,目的是让用户访问攻击者伪造的网页,执行网页中的恶意脚本,伪造用户请求,对用户有登录权限的网站空间实施攻击

2. 这个攻击的基本原理就是,在浏览器不同标签页之间会共享同域会话认证信息机制,说白了就是,你在百度首页登录了百度账号,然后你又打开了个标签页,新的标签页打开了百度云,那么百度云是不用用户名和密码就可以登录的,原因就是,第一次登录的时候,web服务器返回给了浏览器会话认证信息,就是cookie数据,然后,针对这个服务器的http请求就可以通过验证这个cookie数据来自动登录。就是利用的这个特性,攻击者可以在自己控制的网站页面内编写对用户的web应用空间发起的伪造http表单的恶意代码,然后诱骗用户来浏览攻击者构造的页面,执行页面中内嵌的恶意代码,这段恶意代码会在用户不知情的情况下,通过保存在浏览器中的cookie来通过用户正常web应用的验证,以用户的身份来执行HTTP表单操作,泄露web应用中的数据。

3. CSRF的攻击流程,首先攻击者构造一个网页,这个网页中可以有一个图片的标签,点击这个图片就会自动跳转到另一个页面,好了,现在假设一个这样的URL:
blog.xxx.com/entry.do?m=delete$id=122344
这个URL是这个blog的主人在删除编号为122344的文章时产生的,只有blog的主人访问这个URL才会删除这篇文章,好了现在在那个图标跳转到的标签中加入这个URL,然后诱骗blog的主人去点击这个图片,假设在当前的浏览器环境中,blog的主人已经在blog中登陆,当他点击了这个连接之后,编号为122344的文章也随之被删除了,因为浏览器cookie中保存的验证信息已经帮忙通过了验证

4. CSRF攻击的防范,第一就是使用验证码,在上述的情况中使用验证码机制就可以防止误删,还有就是在用户的请求中加入随机数,这样可以让攻击者很难才到这个请求的URL

首发于我的个人网站: 点击打开链接


版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

Http跨站点请求伪造解决方案

1.跨站点请求伪造 首先,什么是跨站点请求伪造? 跨站点请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你...
  • hj7jay
  • hj7jay
  • 2016-08-01 11:47
  • 2757

如何解决跨站点请求伪造

IBM appscan扫描漏洞--跨站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 ...

web安全之跨站请求伪造

CSRF(Cross-site request forgery),中文名称:跨站请求伪造. 因为这个不是用户真正想发出的请求,这就是所谓的请求伪造;因为这些请求也是可以从第三方网站提交的,所以前缀跨站...

跨站点请求伪造解决方案

AppScan   跨站点请求伪造   Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 前...

使用HttpOnly提升Cookie安全性

在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实...

web安全之跨站请求伪造攻击(CSRF)与防范方法

一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写...

CSRF 跨站点请求伪造

转自:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 一.CSRF是什么?   CSRF(Cross-site...

IBM Security Appscan漏洞--跨站点请求伪造

漏洞介绍: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞

主要是通过在url或参数中添加脚本如: 1、URL中添加alert(1) 2、参数value=。 添加一个过滤器对特殊字符进行拦截

XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结。

之前就了解过这方面的知识,但是没有系统地总结。今天在这总结一下,也让自己在接下来的面试有个清晰的概念。XSS跨站脚本攻击: xss 跨站脚本攻击(Cross Site Scripting),为了不...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)