没有合适的资源?快使用搜索试试~ 我知道了~
田靖宇-day201
需积分: 0 0 下载量 26 浏览量
2022-08-04
13:33:43
上传
评论
收藏 355KB PDF 举报
温馨提示
试读
2页
1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A
资源详情
资源评论
资源推荐
笔记本: 我的第一个笔记本
创建时间: 2020/7/11 14:26 更新时间: 2020/7/11 16:27
作者: 820410740@qq.com
URL: https://blog.csdn.net/qq_29999249/article/details/65627893
20200711信息安全实训
mstrc 远程连接 mstrc /admin 强制远程连接
csrf漏洞原理
html css js php
蚁剑 + 菜刀 + 冰蝎
xss漏洞原理
csrf(客户端请求伪造)
ssrf(服务端请求伪造)
https://blog.csdn.net/qq_29999249/article/details/65627893
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大
的危害性,你可以这样来理解:
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是
却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系
统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,
Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。
CSRF攻击攻击原理及过程如下:
1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可
以正常发送请求到网站A;
3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信
息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信
息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
CSRF攻击实例:
受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?
account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的
账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的
session,并且该 session 的用户 Bob 已经成功登陆。黑客 Mallory 自己在该银行也有账户,他
知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:
http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory。但是这个
请求来自 Mallory 而非 Bob,他不能通过安全认证,因此该请求不会起作用。这时,Mallory 想
到使用 CSRF 的攻击方式,他先自己做一个网站,在网站中放入如下代码:
src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory
”,并且通过广告等诱使 Bob 来访问他的网站。当 Bob 访问该网站时,上述 url 就会从 Bob 的
浏览器发向银行,而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。大多数情况
下,该请求会失败,因为他要求 Bob 的认证信息。但是,如果 Bob 当时恰巧刚访问他的银行后
不久,他的浏览器与银行网站之间的 session 尚未过期,浏览器的 cookie 之中含有 Bob 的认证
wxb0cf756a5ebe75e9
- 粉丝: 21
- 资源: 283
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0