日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

csrf攻擊原理與解決技巧 csrf攻擊防范的方法

云知道

說到CSRF很多小伙伴應(yīng)該很清楚了,不清楚也沒關(guān)系,我們下面就來探討一下 。
跨站請(qǐng)求偽造(英語:Cross-site request forgery),也被稱為 one-click attack 或者 session riding,通??s寫為 CSRF 或者 XSRF, 是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法 。跟跨網(wǎng)站腳本(XSS)相比,XSS 利用的是用戶對(duì)指定網(wǎng)站的信任,CSRF 利用的是網(wǎng)站對(duì)用戶網(wǎng)頁瀏覽器的信任 。
以上內(nèi)容來自百度百科
那么接下來我們?cè)敿?xì)討論一下跨站請(qǐng)求偽造:

csrf攻擊原理與解決技巧 csrf攻擊防范的方法


跨站請(qǐng)求攻擊,簡(jiǎn)單地說,是攻擊者通過一些技術(shù)手段欺騙用戶的瀏覽器去訪問一個(gè)自己曾經(jīng)認(rèn)證過的網(wǎng)站并運(yùn)行一些操作(如發(fā)郵件,發(fā)消息,甚至財(cái)產(chǎn)操作如轉(zhuǎn)賬和購買商品) 。由于瀏覽器曾經(jīng)認(rèn)證過,所以被訪問的網(wǎng)站會(huì)認(rèn)為是真正的用戶操作而去運(yùn)行 。這利用了web中用戶身份驗(yàn)證的一個(gè)漏洞:簡(jiǎn)單的身份驗(yàn)證只能保證請(qǐng)求發(fā)自某個(gè)用戶的瀏覽器,卻不能保證請(qǐng)求本身是用戶自愿發(fā)出的 。
理解 CSRF 攻擊的最好方法是看一個(gè)具體的例子 。
假設(shè)您的銀行網(wǎng)站提供了一個(gè)表單,允許將資金從當(dāng)前登錄的用戶轉(zhuǎn)移到另一個(gè)銀行賬戶 。例如,轉(zhuǎn)賬表格可能如下所示:
<form method = "post"action = "/transfer" ><input type = "text"name = "amount" /><input type = "text"name = "routingNumber" /><input type = "text"name = "account" /><輸入類型= “提交”值= “傳輸” /></form>相應(yīng)的 HTTP 請(qǐng)求可能如下所示:
傳輸 HTTP 請(qǐng)求
POST /傳輸 HTTP/1.1
主機(jī):bank.example.com
Cookie:JSESSIONID=randomid
內(nèi)容類型:應(yīng)用程序/x-www-form-urlencoded
金額=100.00&routingNumber=1234&account=9876
現(xiàn)在假設(shè)您對(duì)銀行網(wǎng)站進(jìn)行了身份驗(yàn)證,然后在不注銷的情況下訪問一個(gè)邪惡的網(wǎng)站 。該邪惡網(wǎng)站包含一個(gè) HTML 頁面,其格式如下
邪惡轉(zhuǎn)移形式
<form method = "post"action = "https://bank.example.com/transfer" ><input type = "hidden"name = "amount"value = "https://www.jinnalai.com/fenxiang/100.00" /><input type = "hidden"name = "routingNumber"value = "https://www.jinnalai.com/fenxiang/evilsRoutingNumber" /><input type = "hidden"name = "account"value = "https://www.jinnalai.com/fenxiang/evilsAccountNumber" /><input type = "submit"value = "https://www.jinnalai.com/fenxiang/Win Money!" /></form>你喜歡贏錢,所以你點(diǎn)擊提交按鈕 。在此過程中,您無意中向惡意用戶轉(zhuǎn)移了 100 美元 。發(fā)生這種情況的原因是,雖然惡意網(wǎng)站無法看到您的 cookie,但與您的銀行關(guān)聯(lián)的 cookie 仍會(huì)隨請(qǐng)求一起發(fā)送 。
最糟糕的是,這整個(gè)過程本可以使用 JavaScript 實(shí)現(xiàn)自動(dòng)化 。這意味著您甚至不需要單擊按鈕 。此外,在訪問作為XSS 攻擊受害者的誠實(shí)站點(diǎn)時(shí),它也很容易發(fā)生 。那么我們?nèi)绾伪Wo(hù)我們的用戶免受此類攻擊呢?
【csrf攻擊原理與解決技巧 csrf攻擊防范的方法】那么我們又有哪些方式可以解決,或者避免這種CSRF攻擊呢,歡迎留下大家的見解

    推薦閱讀