Collabtive系统跨站请求伪造攻击实验
实验简介
本次实验的目的是了解和体验跨站请求伪造(CSRF或XSRF)攻击。CSRF攻击涉及用户受害者,受信任的网站,恶意网站。受害者与受信任的站点和用户拥有一个活跃的会话同时访问恶意网站。恶意网站注入一个HTTP请求为受信任的站点到受害者用户会话牺牲其完整性。
CSRF(Cross-site request forgery):中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。作用:攻击者盗用了你的身份,以你的名义发送恶意请求。危害:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。
实验内容
环境搭建
首先我们需要搭建两个站点,分别是可信站点和攻击站点。
设置DNS(/etc/hosts)
:
127.0.0.1 www.csrfattacker.com
127.0.0