一、前言
CSRF:(Cross-site request forgery)跨站请求伪造,也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的请求来利用受信任的网站。
CSRF 是借用用户的权限完成攻击,攻击者没有拿到受害者权限
- 受害者必须在登录状态下,没有退出
- 并且点击了连接
如果受害者不在登陆状态,或者没有点击,则攻击不成功
攻击原理:
常见的危害:正常网站有的功能且存在漏洞
- 发送邮件
- 发表不良言论
- 修改用户信息,密码
- 转账
- 配合其他漏洞攻击
二、测试 CSRF 漏洞
CSRF 漏洞经常被用来制作蠕虫攻击、刷 SEO 流量等。下面试蠕虫攻击为例。