今天,来分享一下CRSF攻击基本知识
CRSF:cross site request forgery 跨站请求伪造
下面是CRSF攻击的示意图:
上图可以简单总结为三步:
- 用户登陆A站,并保留登陆信息
- 用户访问B站, B站携带A站登陆信息恶意请求A站
- A站无法识别请求方,当作合法请求处理,从而遭受攻击
简单示例:
某个网站存在以下恶意信息
<img src="http://www.xxx.com/blogadmin.php?type=delete&id=3">
乍一看,可能大家感觉这不就是一个简单的html图片标签吗?
但是仔细看可以发现,这根本就不是一个对图片的请求连接,当你登陆到此网站后,网站会主动发起: