常见Web安全错误8:跨站点请求伪造(CSRF)

发布时间: 2020-11-7 20:54 作者 : kr 本文共745个字,预计阅读时间需要2分钟 共838人阅读

标题:常见Web安全错误8:跨站点请求伪造(CSRF)来源于:文章底部显示

常见Web安全错误8:跨站点请求伪造(CSRF)

这是一个令人困惑的代理攻击的好例子,浏览器被其他方欺骗以滥用其权限。例如,第三方网站可能使用户的浏览器滥用其授权为攻击者做某事。

对于CSRF,第三方网站使用您的浏览器和cookie /会话向目标网站(例如,您的银行)发出请求。例如,如果您登录到银行主页上的一个选项卡上,并且容易受到攻击,则另一个选项卡可能使您的浏览器代表攻击者滥用其凭据,从而导致混乱的代理问题。代理是滥用浏览器权限(会话cookie)来执行攻击者指示的操作的浏览器。

考虑以下示例:

攻击者爱丽丝(Alice)希望通过将托德的部分资金转移到托德的钱包中来减轻她的钱包。托德的银行容易受到CSRF的攻击。为了汇款,Todd必须访问以下URL:

打开此URL后,成功页面将显示给Todd,并完成传输。爱丽丝还知道,托德经常访问一个受其控制的网站,并在其中放置以下代码段:

在访问Alice的网站时,Todd的浏览器认为Alice链接到图像,并自动发出HTTP GET请求以获取图片,但这实际上是指示Todd的银行向Alice转移$ 1500。

顺便说一句,除了演示CSRF漏洞外,此示例还演示了使用幂等HTTP GET请求更改服务器状态,该请求本身就是一个严重漏洞。HTTP GET请求必须是幂等(安全)的,这意味着它们不能更改被访问的资源。永远不要使用幂等方法来更改服务器状态。

有趣的事实:CSRF也是人们过去用来填充Cookie的方法,直到会员变得更明智为止。

预防措施: 将秘密令牌存储在第3方站点无法访问的隐藏表单字段中。当然,您始终必须验证此隐藏字段。有些网站在修改敏感设置时也会要求您输入密码(例如,您的密码提醒电子邮件),尽管我怀疑这样做是为了防止滥用您放弃的会话(例如,在网吧中)。

 



本站本着相互幫助,合作共贏嘅精神,幫助大家,如果有侵犯版權或違反法律嘅行為請聯系負責人進行刪除和嚴懲本站用戶
» 常见Web安全错误8:跨站点请求伪造(CSRF)

常见问题FAQ

源码存在后门嘛?
每个源码提供者都是认真核查后发布出来的,如果有后门,官方会严惩作者!
技术都是免费的吗?
大多资源和技术学习都是免费得,部分比较高级的学习资料发布者收费也是可以的!
使用的软件可靠嘛?
软件都是进行挑选出来的,保障每个都能正常的使用。
找人任务修改会有危险吗?
请建议不要私下交易,任何都以平台为主,如果技术方愚弄你,都会受到严惩!

标题:常见Web安全错误8:跨站点请求伪造(CSRF)

发表评论

热图

标题:常见Web安全错误7:缺少功能级别的访问控制

立即加入 了解詳情
sitemap: Baiduxml Baiduhtxt 360xml 360txt Sogouxml Sogoutxt Smxml Smtxt Byxml Byhtxt Googlexml Googletxt
底部
rss
×