本文主要是介绍《网络安全学习》 第九部分----CSRF(跨站请求伪造)漏洞详解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
跨站请求伪造(也称为XSRF,CSRF和跨站点参考伪造)通过利用站点对用户的信任来工作。站点任务通常链接到特定URL(例如:http://site/stocks?buy = 100&stock = ebay),允许在请求时执行特定操作。如果用户登录到站点并且攻击者欺骗他们的浏览器向这些任务URL之一发出请求,则执行任务并以登录用户身份登录。通常,攻击者会将恶意HTML或JavaScript代码嵌入到电子邮件或网站中,在用户不知情的情况下,直接或通过利用跨站点脚本缺陷,来执行的特定“任务URL”。
执行CSRF攻击的常见方法有哪些?
执行CSRF攻击的最常用方法是使用HTML图像标记或JavaScript图像对象。通常,攻击者会将这些内容嵌入到电子邮件或网站中,因此当用户加载页面或电子邮件时,他们会对攻击者喜欢的任何URL执行Web请求。
CSRF攻击攻击原理及过程如下:
1. 用户打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3. 用户未退出网站A之前,在同一浏览器中,访问木马网站B;4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;5.这个时候攻击者就可以替代用户进行一系列的操作,从而发生CSRF隐患
这篇关于《网络安全学习》 第九部分----CSRF(跨站请求伪造)漏洞详解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!