亚洲精品久久久久久第一页-人妻少妇精彩视品一区二区三区-91国产自拍免费视频-免费一级a在线播放视频正片-少妇天天日天天射天天爽-国产大屁股喷水视频在线观看-操美女骚穴抽插性爱视频-亚洲 欧美 中文字幕 丝袜-成人免费无码片在线观看

  1. 首頁 > 生活知識 > >

csrf攻擊原理與解決技巧 csrf攻擊防范的方法

生活百科csrf


csrf攻擊原理與解決技巧 csrf攻擊防范的方法

文章插圖
說到CSRF很多小伙伴應(yīng)該很清楚了,不清楚也沒關(guān)系,我們下面就來探討一下 。
跨站請求偽造(英語:Cross-site request forgery),也被稱為 one-click attack 或者 session riding,通??s寫為 CSRF 或者 XSRF,是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法 。跟跨網(wǎng)站腳本(XSS)相比,XSS 利用的是用戶對指定網(wǎng)站的信任,CSRF 利用的是網(wǎng)站對用戶網(wǎng)頁瀏覽器的信任 。
以上內(nèi)容來自百度百科
那么接下來我們詳細討論一下跨站請求偽造:
跨站請求攻擊,簡單地說,是攻擊者通過一些技術(shù)手段欺騙用戶的瀏覽器去訪問一個自己曾經(jīng)認證過的網(wǎng)站并運行一些操作(如發(fā)郵件,發(fā)消息,甚至財產(chǎn)操作如轉(zhuǎn)賬和購買商品) 。由于瀏覽器曾經(jīng)認證過,所以被訪問的網(wǎng)站會認為是真正的用戶操作而去運行 。這利用了web中用戶身份驗證的一個漏洞:簡單的身份驗證只能保證請求發(fā)自某個用戶的瀏覽器,卻不能保證請求本身是用戶自愿發(fā)出的 。
理解 CSRF 攻擊的最好方法是看一個具體的例子 。
假設(shè)您的銀行網(wǎng)站提供了一個表單,允許將資金從當(dāng)前登錄的用戶轉(zhuǎn)移到另一個銀行賬戶 。例如,轉(zhuǎn)賬表格可能如下所示:
<form method = "post"action = "/transfer" ><input type = "text"name = "amount" /><input type = "text"name = "routingNumber" /><input type = "text"name = "account" /><輸入類型= “提交”值= “傳輸” /></form>相應(yīng)的 HTTP 請求可能如下所示:
傳輸 HTTP 請求
POST /傳輸 HTTP/1.1
主機:bank.example.com
Cookie:JSESSIONID=randomid
內(nèi)容類型:應(yīng)用程序/x-www-form-urlencoded
金額=100.00&routingNumber=1234&account=9876
現(xiàn)在假設(shè)您對銀行網(wǎng)站進行了身份驗證,然后在不注銷的情況下訪問一個邪惡的網(wǎng)站 。該邪惡網(wǎng)站包含一個 HTML 頁面,其格式如下
邪惡轉(zhuǎn)移形式
<form method = "post"action = "https://bank.example.com/transfer" ><input type = "hidden"name = "amount"value = "https://www.520longzhigu.com/diannao/100.00" /><input type = "hidden"name = "routingNumber"value = "https://www.520longzhigu.com/diannao/evilsRoutingNumber" /><input type = "hidden"name = "account"value = "https://www.520longzhigu.com/diannao/evilsAccountNumber" /><input type = "submit"value = "https://www.520longzhigu.com/diannao/Win Money!" /></form>你喜歡贏錢,所以你點擊提交按鈕 。在此過程中,您無意中向惡意用戶轉(zhuǎn)移了 100 美元 。發(fā)生這種情況的原因是,雖然惡意網(wǎng)站無法看到您的 cookie,但與您的銀行關(guān)聯(lián)的 cookie 仍會隨請求一起發(fā)送 。
最糟糕的是,這整個過程本可以使用 JavaScript 實現(xiàn)自動化 。這意味著您甚至不需要單擊按鈕 。此外,在訪問作為XSS 攻擊受害者的誠實站點時,它也很容易發(fā)生 。那么我們?nèi)绾伪Wo我們的用戶免受此類攻擊呢?
那么我們又有哪些方式可以解決,或者避免這種CSRF攻擊呢,歡迎留下大家的見解


    以上關(guān)于本文的內(nèi)容,僅作參考!溫馨提示:如遇健康、疾病相關(guān)的問題,請您及時就醫(yī)或請專業(yè)人士給予相關(guān)指導(dǎo)!

    「愛刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容,希望對您有所幫助: