什么是CSRF 跨站点请求伪造
攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。
攻击步骤:
1.浏览登陆网站A 2.网站A用户验证通过,在用户客户端产生cookie 3.用户在没有登出A网站的情况下,访问到了危险网站B 4.网站B对网站A发送恶意请求 5.浏览器带着恶意请求之前保存的cookie访问网站A 6.因为带着cookie,网站A以为是用户在操作,处理了网站B的恶意请求。从而达到了模拟用户操作的目的。
常见的CSRF攻击类型
1.get类型的CSRF 只需要一个http请求 在受害者访问含有这个img的页面后,浏览器会自动向bank.example/withdraw?ac… 2.Post类型的CSRF 这种类型的CSRF利用起来通常使用的是一个自动提交的表单,如:
xml
复制代码
<form action="http://bank.example/withdraw" method=POST><input type="hidden" name="account" value="xiaoming" />`<input type="hidden" name="amount" value="10000" /><input type="hidden" name="for" value="hacker" /></form><script> document.forms[0].submit(); </script>
3.链接类型的CSRF 链接类型的CSRF并不常见,比起其他两种用户打开页面就中招的情况,这种需要用户点击链接才会触发。这种类型通常是在论坛中发布的图片中嵌入恶意链接,或者以广告的形式诱导用户中招,攻击者通常会以比较夸张的词语诱骗用户点击
CSRF的特点
1.攻击发起方为第三方网站,而不是被攻击的网站。 2.攻击者利用用户的登陆凭证,冒充用户进行操作,而不是窃取数据 3.跨站请求可以有很多方式,如图片,表单,超链接
CSRF和Xss的区别
XSS是代码注入问题,Csrf是HTTP问题 XSS是没有进行输入过滤导致将攻击者的输入当代码执行 CSRF是因为浏览器发送请求的时候自动带上了Cookie
如何防御
1.验证码:完成验证码操作才能处理请求 2.token:token 验证的 CSRF 防御机制是公认最合适的方案
最后
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料
② 黑客技术
因篇幅有限,仅展示部分资料
3️⃣网络安全源码合集+工具包
4️⃣网络安全面试题
5️⃣汇总
所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~