CSRF原理
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF具体表现为攻击者盗用了你的身份,以你的名义发送恶意请求。
CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。
CSRF攻击过程
如上图:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。CSRF攻击原理及过程如下:
1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
CSRF攻击防护
上文简单的叙述了CSRF攻击的原理,接下来将要介绍几种CSRF攻击的防护方法:
文章转自长风实验室,文章中所涉及的技术、思路和工具,仅供以网络安全为目的的学习交流使用,不得用作它途,如有侵权请联系删除。
关注我的朋友都知道,我经常给大家免费分享各种学习资源及干货。
但是,网络安全并不是一个简单的行业,光靠一个人看书是不行的,为了让真正想学习网络安全的朋友,给你们提供高效、专业、系统的学习模式,马哥教育经过调研走访安全大厂,精心设计了《网络安全工程师》的系统学习课程。
包括从0到1的安全干货、项目实战,还有岗位内推、群内答疑等各种服务,让你快速成长为一名网络安全工程师。
如果你对网络安全感兴趣,或者正在学习网络安全,欢迎扫码备注【公众号+安全试听】,免费听听这门课程,是真的很不错。
原文始发于微信公众号(网络安全资源库):必读篇!CSRF攻击原理与解决方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论