CSRF漏洞概述
攻击者伪造一个请求, 骗取用户点击, 一旦点击, 攻击就完成了
攻击者抓包获得正常的请求, 然后把这个请求里的信息修改成被攻击者的信息, 然后让被攻击者点击, 如果此时, 被攻击者的账户是处于登录状态的, 该点击可能就会生效(取决于网站有没有其他的安全措施)
CSRF漏洞测试流程
CSRF(get/post)
get 请求头提交, 直接伪造请求
post 用自己的站点制作一个表单, 让被攻击者填写, 提交到正常网站
CSRF防范
加上token码
设置会话过期机制
二次认证
用post不用get
限制referer