文章目录
CSRF漏洞是什么?
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。
借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。
CSRF是跨站请求伪造攻击,它不像XSS和SQL注入会盗取用户的信息,它的目的是强制用户的浏览器客户端执行攻击者想要用户做的操作,也就是更改用户状态的请求,如:转移资金和修改密码等操作。
场景复现
将模拟场景的网站文件放到phpstudy的www目录下,分别打开三个浏览器模拟三个不同用户的客户端(其中一个是黑客),并在phpstudy中打开命令行,新建一个数据库bank,加载C:\phpStudy\WWW\bank下的bank.sql文件,在membe