Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1667676
  • 博文数量: 2253
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 22659
  • 用 户 组: 普通用户
  • 注册时间: 2020-11-26 14:30
个人简介

更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号

文章分类

全部博文(2253)

文章存档

2024年(99)

2023年(643)

2022年(693)

2021年(734)

2020年(80)

我的朋友

分类: 网络与安全

2023-02-17 15:20:25

  CSRF,英文全称是Cross-site request forgery,又称为跨站请求伪造,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。那么什么是CSRF攻击?其攻击原理是什么?以下是详细内容介绍。

  什么是CSRF攻击?

  CSRF攻击是通过强制用户登录到攻击者控制的账户来策划的。为了达到这一目的,黑客使用他们的凭证向网站伪造一个状态改变请求,并将表单提交到受害者的浏览器。服务器对浏览器请求进行身份验证,并将用户登录到攻击者的账户。当受害者向攻击者的账户提交正在登录的敏感信息时,攻击者可以利用这些信息执行一些不必要的操作,包括身份盗窃。

  CSRF攻击的攻击原理是什么?

  CSRF攻击一般的攻击原理是,攻击者向目标网站注入一个恶意的CSRF攻击URL地址,当用户访问某特定网页时,如果用户点击了该URL,那么攻击就触发了,我们可以在该恶意的URL对应的网页中,利用来向目标网站发生一个get请求,该请求会携带cookie信息,所以也就借用了用户的身份,也就是伪造了一个请求,该请求可以是目标网站中的用户有权限访问的任意请求。也可以使用JavaScript构造一个提交表单的post请求。比如构造一个转账的POST请求。

  所以CSRF的攻击分为了两步,首先要注入恶意URL地址,然后在该地址中写入攻击代码,利用等标签或者使用JavaScript脚本。

  如何防御CSRF攻击?

  1、尽量使用post,限制get

  2、浏览器cookie策略

  3、加验证码,强制用户必须与应用进行交互,才能完成{BANNED}最佳终请求

  4、Referer Check

  5、Anti CSRF Token

阅读(93) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~