美國服務(wù)器CSRF攻擊的原理:1���、向目標(biāo)美國服務(wù)器注入惡意URL地址����;2�����、利用<img>等標(biāo)簽或者使用Javascript腳本寫入攻擊代碼���,從而對(duì)美國服務(wù)器發(fā)起惡意攻擊�。
具體內(nèi)容如下:
CSRF攻擊是源于美國服務(wù)器Web的隱式身份驗(yàn)證機(jī)制,Web的身份驗(yàn)證機(jī)制雖然可以保證請(qǐng)求是來自于某個(gè)訪客的瀏覽器�,但卻無法保證該請(qǐng)求是訪客批準(zhǔn)發(fā)送的,因此CSRF攻擊一般是由服務(wù)端進(jìn)行����。
CSRF攻擊過程是黑客向目標(biāo)美國服務(wù)器網(wǎng)站注入一個(gè)惡意的CSRF攻擊URL地址,也就是跨站URL地址�,當(dāng)訪客訪問某特定網(wǎng)頁時(shí),如果訪客點(diǎn)擊了該URL���,那么攻擊就會(huì)觸發(fā)�����,
黑客可以在該惡意的url對(duì)應(yīng)的網(wǎng)頁中����,利用 <img src="" /> 來向目標(biāo)美國服務(wù)器網(wǎng)站發(fā)生一個(gè)get請(qǐng)求�����,該請(qǐng)求會(huì)攜帶cookie信息����,所以也就借用了訪客的身份偽造了一個(gè)請(qǐng)求,該請(qǐng)求可以是目標(biāo)網(wǎng)站中的用戶有權(quán)限訪問的任意請(qǐng)求����,也可以使用javascript構(gòu)造一個(gè)提交表單的post請(qǐng)求。比如構(gòu)造一個(gè)轉(zhuǎn)賬的post請(qǐng)求����。
所以CSRF的攻擊美國服務(wù)器分為兩步,首先要注入惡意URL地址�����,然后在該地址中寫入攻擊代碼��,利用<img> 等標(biāo)簽或者使用Javascript腳本��。
