跨站点请求伪造攻击

原创 2016年08月28日 16:28:57

1. 跨站点请求伪造攻击(CSRF)是属于伪造客户端请求的一种攻击方式,目的是让用户访问攻击者伪造的网页,执行网页中的恶意脚本,伪造用户请求,对用户有登录权限的网站空间实施攻击

2. 这个攻击的基本原理就是,在浏览器不同标签页之间会共享同域会话认证信息机制,说白了就是,你在百度首页登录了百度账号,然后你又打开了个标签页,新的标签页打开了百度云,那么百度云是不用用户名和密码就可以登录的,原因就是,第一次登录的时候,web服务器返回给了浏览器会话认证信息,就是cookie数据,然后,针对这个服务器的http请求就可以通过验证这个cookie数据来自动登录。就是利用的这个特性,攻击者可以在自己控制的网站页面内编写对用户的web应用空间发起的伪造http表单的恶意代码,然后诱骗用户来浏览攻击者构造的页面,执行页面中内嵌的恶意代码,这段恶意代码会在用户不知情的情况下,通过保存在浏览器中的cookie来通过用户正常web应用的验证,以用户的身份来执行HTTP表单操作,泄露web应用中的数据。

3. CSRF的攻击流程,首先攻击者构造一个网页,这个网页中可以有一个图片的标签,点击这个图片就会自动跳转到另一个页面,好了,现在假设一个这样的URL:
blog.xxx.com/entry.do?m=delete$id=122344
这个URL是这个blog的主人在删除编号为122344的文章时产生的,只有blog的主人访问这个URL才会删除这篇文章,好了现在在那个图标跳转到的标签中加入这个URL,然后诱骗blog的主人去点击这个图片,假设在当前的浏览器环境中,blog的主人已经在blog中登陆,当他点击了这个连接之后,编号为122344的文章也随之被删除了,因为浏览器cookie中保存的验证信息已经帮忙通过了验证

4. CSRF攻击的防范,第一就是使用验证码,在上述的情况中使用验证码机制就可以防止误删,还有就是在用户的请求中加入随机数,这样可以让攻击者很难才到这个请求的URL

首发于我的个人网站: 点击打开链接


版权声明:本文为博主原创文章,未经博主允许不得转载。

CSRF(跨站点伪造请求)

转载自: http://www.h3c.com.cn/About_H3C/Company_Publication/IP_Lh/2012/04/Home/Catalog/201208/751467_...

web安全(2)-- CSRF(跨站点请求伪造)

CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站...

Asp.net安全架构之3:CSRF(跨站点请求伪造)

原理 CSRF,Cross Site Request Forgery,即跨站点请求伪造。 这种攻击是指,在用户正常登录系统以后,攻击者诱使用户访问一些非法链接,以执行一些非法操作。比如:如果删除用...
  • luminji
  • luminji
  • 2013年11月27日 14:03
  • 621

IBM Security Appscan漏洞--跨站点请求伪造

漏洞介绍: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务...

跨站点请求伪造防范(转载)

CSRF 的防范机制有很多种,防范的方法也根据 CSRF 攻击方式的不断升级而不断演化。常用的有检查 Refer 头部信息,使用一次性令牌,使用验证图片等手段。出于性能的考虑,如果每个请求都加入令牌验...

跨站点请求伪造

跨站点请求伪造 IBM appscan扫描漏洞--跨站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的...

跨站点请求伪造保护

跨站点请求伪造保护的方法

跨站点请求伪造(CSRF)

CSRF的全名是Cross Site Request Forgery,也就是跨站点请求伪造
  • ruins44
  • ruins44
  • 2016年03月29日 23:16
  • 436

AppScan 测出 跨站点请求伪造 漏洞

安全风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 可能原因 应用程序使用的认证...

CSRF 跨站点请求伪造

转自:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 一.CSRF是什么?   CSRF(Cross-site...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:跨站点请求伪造攻击
举报原因:
原因补充:

(最多只允许输入30个字)