青面獠牙的城堡

<br />跨站请求伪造 （即CSRF ）被Web安全 界称为诸多漏洞中“沉睡的巨人”，其威胁程度由此“美誉”便可见一斑。本文将简单介绍该漏洞，并详细说明造成这种漏洞的原因所在，以及针对该漏洞的黑盒测试与灰盒子测试具体方法和示例，最后提提了一些防范该攻击的建议，希望本文对读者的安全测试能够有所启发。 <br />一、CSRF概述<br />我们首先来了解一下什么是跨站请求伪造（CSRF）？跨站请求伪造是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者只要借助少许的社会工

<br />跨站请求伪造（即CSRF）被Web安全界称为诸多漏洞中“沉睡的巨人”，其威胁程度由此“美誉”便可见一斑。本文将简单介绍该漏洞，并详细说明造成这种漏洞的原因所在，以及针对该漏洞的黑盒测试与灰盒子测试具体方法和示例，最后提提了一些防范该攻击的建议，希望本文对读者的安全测试能够有所启发。 <br />一、CSRF概述<br />我们首先来了解一下什么是跨站请求伪造（CSRF）？跨站请求伪造是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者只要借助少许的社会工程诡计，例如