pikachu中csrf漏洞
csrf漏洞原理
- csrf的表现是通过一个假的url,直接修改了用户的信息
- 本质是伪造用户登录状态,去骗服务器,服务器以为是用户的操作,就执行了,没有验证,“我”要改信息,这个“我”其实是为伪装的。
- 所以实现的条件是,csrf出现在用户登录状态下,修改个人信息,重制密码等处。
xss和csrf的区别
- 相同之处都是需要用户去点击一个恶意链接
- 与xss最大的区别有二,一是xss是拿到了cookie,csrf没有拿到cookie,伪造了一个登录状态。二是xss基于用户对网站的信任,觉得网站链接安全,可以点击,csrf是网站(服务器)对用户的信任,认为重置密码的操作属于用户个人行为。