CSRF概述
中文:跨站请求伪造
英文全称:Cross - site request forrgery
作用:强制终端用户在当前对其进行身份验证后的WEB应用程序上执行非本意的操作
这个漏洞的使用前提:必须要有一个用户登录了这个web应用
攻击的重点:伪造更改状态类的请求,比如修改密码或者是转账什么的
攻击路径:诱骗用户进行操作,或是强制用户进行操作
CSRf具备普遍性
举个栗子(来着简书链接如下,侵必删)
场景还原
下班后,手机没电关机之前的最后一个电话是我一朋友打来借钱的。无奈我只能打开Chrome,访问了某银行网站,好在我成功登录(手机接到验证码后便关机了)。
导航到转账页面,我输入好金额和对方账号,点击提交后,浏览器发起一个请求:
GET https://bank.cn/withdraw?account=sjyuan&amount=5000&for=FriendAccount
转账成功后,我开始浏览某论坛。某帖子有一个评论附了一张照片,我好奇地点击了照片,不料中招,链接地址是:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nPPlQS1c-1585406082494)(https://bank.cn/withdraw?account=sjyuan&amount=50000&for=HackerAccoun