国产一区二区精品-国产一区二区精品久-国产一区二区精品久久-国产一区二区精品久久91-免费毛片播放-免费毛片基地

千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機(jī)構(gòu)

手機(jī)站
千鋒教育

千鋒學(xué)習(xí)站 | 隨時(shí)隨地免費(fèi)學(xué)

千鋒教育

掃一掃進(jìn)入千鋒手機(jī)站

領(lǐng)取全套視頻
千鋒教育

關(guān)注千鋒學(xué)習(xí)站小程序
隨時(shí)隨地免費(fèi)學(xué)習(xí)課程

當(dāng)前位置:首頁  >  技術(shù)干貨  > 到底什么是csrf攻擊,原理是什么?

到底什么是csrf攻擊,原理是什么?

來源:千鋒教育
發(fā)布人:xqq
時(shí)間: 2023-10-11 19:16:05 1697022965

一、csrf攻擊

什么是CSRF

CSRF(Cross-Site Request Forgery),也被稱為 one-click attack 或者 session riding,即跨站請求偽造攻擊。

那么 CSRF 到底能夠干嘛呢?CSRF是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。可以簡單的理解為:攻擊者可以盜用你的登陸信息,以你的身份模擬發(fā)送各種請求對服務(wù)器來說這個(gè)請求是完全合法的,但是卻完成了攻擊者所期望的一個(gè)操作,比如以你的名義發(fā)送郵件、發(fā)消息,盜取你的賬號,添加系統(tǒng)管理員,甚至于購買商品、虛擬貨幣轉(zhuǎn)賬等。攻擊者只要借助少許的社會(huì)工程學(xué)的詭計(jì),例如通過 QQ 等聊天軟件發(fā)送的鏈接(有些還偽裝成短域名,用戶無法分辨),攻擊者就能迫使 Web 應(yīng)用的用戶去執(zhí)行攻擊者預(yù)設(shè)的操作。

所以遇到 CSRF 攻擊時(shí),將對終端用戶的數(shù)據(jù)和操作指令構(gòu)成嚴(yán)重的威脅。當(dāng)受攻擊的終端用戶具有管理員帳戶的時(shí)候,CSRF 攻擊將危及整個(gè) Web 應(yīng)用程序。

CSRF原理

1、用戶C打開瀏覽器,訪問受信任網(wǎng)站A,輸入用戶名和密碼請求登錄網(wǎng)站A;

2、在用戶信息通過驗(yàn)證后,網(wǎng)站A產(chǎn)生Cookie信息并返回給瀏覽器,此時(shí)用戶登錄網(wǎng)站A成功,可以正常發(fā)送請求到網(wǎng)站A;

3、用戶未退出網(wǎng)站A之前,在同一瀏覽器中,打開一個(gè)TAB頁訪問網(wǎng)站B;

4、網(wǎng)站B接收到用戶請求后,返回一些攻擊性代碼,并發(fā)出一個(gè)請求要求訪問第三方站點(diǎn)A;

5、瀏覽器在接收到這些攻擊性代碼后,根據(jù)網(wǎng)站B的請求,在用戶不知情的情況下攜帶Cookie信息,向網(wǎng)站A發(fā)出請求。網(wǎng)站A并不知道該請求其實(shí)是由B發(fā)起的,所以會(huì)根據(jù)用戶C的Cookie信息以C的權(quán)限處理該請求,導(dǎo)致來自網(wǎng)站B的惡意代碼被執(zhí)行。

CSRF 攻擊的三個(gè)條件 :

1. 用戶已經(jīng)登錄了站點(diǎn) A,并在本地記錄了 cookie

2. 在用戶沒有登出站點(diǎn) A 的情況下(也就是 cookie 生效的情況下),訪問了惡意攻擊者提供的引誘危險(xiǎn)站點(diǎn) B (B 站點(diǎn)要求訪問站點(diǎn)A)。

3. 站點(diǎn) A 沒有做任何 CSRF 防御

延伸閱讀:

二、CSRF漏洞檢測

檢測CSRF漏洞最簡單的方法就是抓取一個(gè)正常請求的數(shù)據(jù)包,去掉Referer字段后再重新提交,如果該提交還有效,那么基本上可以確定存在CSRF漏洞。

隨著對CSRF漏洞研究的不斷深入,不斷涌現(xiàn)出一些專門針對CSRF漏洞進(jìn)行檢測的工具,如CSRFTester,CSRF Request Builder等。

以CSRFTester工具為例,CSRF漏洞檢測工具的測試原理如下:使用CSRFTester進(jìn)行測試時(shí),首先需要抓取我們在瀏覽器中訪問過的所有鏈接以及所有的表單等信息,然后通過在CSRFTester中修改相應(yīng)的表單等信息,重新提交,這相當(dāng)于一次偽造客戶端請求。如果修改后的測試請求成功被網(wǎng)站服務(wù)器接受,則說明存在CSRF漏洞,當(dāng)然此款工具也可以被用來進(jìn)行CSRF攻擊。

聲明:本站稿件版權(quán)均屬千鋒教育所有,未經(jīng)許可不得擅自轉(zhuǎn)載。
10年以上業(yè)內(nèi)強(qiáng)師集結(jié),手把手帶你蛻變精英
請您保持通訊暢通,專屬學(xué)習(xí)老師24小時(shí)內(nèi)將與您1V1溝通
免費(fèi)領(lǐng)取
今日已有369人領(lǐng)取成功
劉同學(xué) 138****2860 剛剛成功領(lǐng)取
王同學(xué) 131****2015 剛剛成功領(lǐng)取
張同學(xué) 133****4652 剛剛成功領(lǐng)取
李同學(xué) 135****8607 剛剛成功領(lǐng)取
楊同學(xué) 132****5667 剛剛成功領(lǐng)取
岳同學(xué) 134****6652 剛剛成功領(lǐng)取
梁同學(xué) 157****2950 剛剛成功領(lǐng)取
劉同學(xué) 189****1015 剛剛成功領(lǐng)取
張同學(xué) 155****4678 剛剛成功領(lǐng)取
鄒同學(xué) 139****2907 剛剛成功領(lǐng)取
董同學(xué) 138****2867 剛剛成功領(lǐng)取
周同學(xué) 136****3602 剛剛成功領(lǐng)取
相關(guān)推薦HOT
Java并發(fā)編程需要掌握什么?

一、Java并發(fā)編程需要掌握的內(nèi)容1、線程基礎(chǔ)知識了解線程的概念、生命周期和狀態(tài)轉(zhuǎn)換,以及如何創(chuàng)建和管理線程。熟悉Java中的Thread類和Runnabl...詳情>>

2023-10-11 21:08:03
WEB服務(wù)器是什么?

一、WEB服務(wù)器是什么WEB服務(wù)器是一種用于存儲(chǔ)、處理和提供Web內(nèi)容的軟件或硬件設(shè)備。它充當(dāng)了Web應(yīng)用程序和客戶端之間的中間層,負(fù)責(zé)接收來自客...詳情>>

2023-10-11 20:49:17
為什么要用Lambda表達(dá)式?

一、用Lambda表達(dá)式的原因Lambda表達(dá)式是一種匿名函數(shù),它在許多編程語言中得到了廣泛應(yīng)用,包括Java、Python、JavaScript等。1、簡潔性Lambda...詳情>>

2023-10-11 20:31:47
JavaScript能達(dá)到什么效果?

一、動(dòng)態(tài)內(nèi)容與交互JavaScript可以讓網(wǎng)頁具有動(dòng)態(tài)性和交互性,為用戶提供更豐富的使用體驗(yàn)。動(dòng)態(tài)內(nèi)容:通過JavaScript,開發(fā)人員可以動(dòng)態(tài)地修改...詳情>>

2023-10-11 20:20:30
Python的主要應(yīng)用行業(yè)有哪些?

一、網(wǎng)絡(luò)和Web開發(fā)Python在網(wǎng)絡(luò)和Web開發(fā)領(lǐng)域有著廣泛的應(yīng)用。它提供了一系列的庫和框架,如Django和Flask,用于構(gòu)建高效且可擴(kuò)展的Web應(yīng)用程序...詳情>>

2023-10-11 20:18:37