最近在整改项目的安全业务,扫描出好多相关的问题,开个文章说下安全攻击方式以及安全整改手段。
CSRF攻击即跨站点请求伪造,攻击者通过跨站请求,以合法用户身份进行非法操作,如转账交易,发表评论等,CSRF的主要手法就是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求,其核心是利用了浏览器cookie或者服务器session策略盗取用户身份,目前市面上刷票,秒杀软件,基本原理都是这个,通过抓包软件fibben,抓取请求连接,拿到里面的session,通过代码或者postman模拟请求,通过拿到的cookie或者session来伪造用户身份,通过代码循环来进行秒杀