1、CSRF漏洞介绍
CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。
攻击者盗用了你的身份伪造一个请求,用户一旦点击了这个请求,整个攻击也就完成了。
CSRF通常的攻击方式:以你的名义发送邮件、消息、购买商品、转账、盗取账号信息等。
比如现在有个用户victim需要登录一个购物网站,正常情况下,victim登陆(获取后台权限)后,如果他编辑好了修改的内容,点击提交就可以完成victim的信息的修改,例如:
http://nathanhauk.com?name=victim&sex=男&phone=xxx&emial=xxx&money=100
比如Badguy,想要修改victim的个人信息,应该怎么操作?我该考虑怎么伪造victim的身份&#x