本文章为作者渗透测试自学系列文章,所有内容仅作为个人学习实验使用,请勿用于实战环境。
CSRF:CSRF跨站点请求伪造(Cross—Site Request Forgery),是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并进行一些操作(如发邮件,发消息,甚至财产操作)。由于攻击者盗用了受害者的身份,以受害者的名义发送恶意请求,所以对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作。
一张盗图完美解释csrf攻击流程
示例(以get请求csrf类型为例)
用户登录银行网站并转账的页面urlhttps://bank.transfer?toid=10&money=100
当用户没有推出银行网站的情况下,去访问了一个hack网站。
hack网站页面有以下代码:<img src="https://bank.transfer?toid=12&money=100">