转载:四叶草-CISP-PTE
服务器端请求伪造;是一种由*** 者构造形成由服务端发起请求的一个安全漏洞。一般情况下,×××F攻 击的目标是从外网无法访问的内部系统(正是因为它是由服务端发起 的,所以它能够请求到与它相连而与外网隔离的内部系统)
***f常见
- 分享:通过URL地址分享网页内容
- b) 转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏 幕浏览
- c) 在线翻译:通过URL地址翻译对应文本的内容。提供此功能的国内 公司有百度、有道等
- d) 图片加载与下载:通过URL地址加载或下载图片
- e) 图片、文章收藏功能
-
f) 未公开的api实现以及其他调用URL的功能
***f 过滤 - a) 过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。如果web应 用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回 的信息是否符合标准;
- b) 统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态;
- c) 限制请求的端口为http常用的端口,比如,80,443,8080,8090;
- d) 黑名单内网ip
crsf
验证HTTPReferer字段;
b) 在请求地址中添加token并验证;
c) 在HTTP头中自定义属性并验证。
***者发现CSRF漏洞——构造代码——发送给受害人——受害人打开——受害人执 行代码——完成***
XSS漏洞:
***者发现XSS漏洞——构造代码——发送给受害人——受害人打开——***者获 取受害人的cookie——完成***
而且XSS容易发现,因为***者需要登录后台完成***。管理员可以看日志发现攻 击者;而CSRF则不同,他的***一直是管理员自己实现的,***者只负责了构造代 码
转载于:https://blog.51cto.com/antivirusjo/2065008