美國(guó)服務(wù)器中CSRF攻擊的原理是:美國(guó)服務(wù)器中CSRF攻擊是通過注入惡意URL地址����,并在該地址中利用<img> 等標(biāo)簽和Javascript腳本寫入攻擊代碼;
具體分析如下:
美國(guó)服務(wù)器CSRF攻擊是指跨站請(qǐng)求偽造����,另一個(gè)因?yàn)楹?jiǎn)寫為:XSRF,簡(jiǎn)單來說是一種對(duì)美國(guó)服務(wù)器網(wǎng)站的惡意利用,是比較容易被忽略的一種網(wǎng)絡(luò)攻擊����,但是卻比XSS更具危險(xiǎn)性。
美國(guó)服務(wù)器CSRF攻擊是源于Web隱式身份驗(yàn)證機(jī)制����,身份驗(yàn)證機(jī)制雖然可以保證請(qǐng)求是來自于某個(gè)訪客的瀏覽器,但卻無法保證該請(qǐng)求是否是訪客批準(zhǔn)發(fā)送的����。美國(guó)服務(wù)器CSRF攻擊過程分為兩步,首先要注入惡意URL地址����,然后在該地址中寫入攻擊代碼,利用<img> 等標(biāo)簽或者使用Javascript腳本����。
美國(guó)服務(wù)器CSRF攻擊具體過程:
黑客向目標(biāo)美國(guó)服務(wù)器網(wǎng)站注入一個(gè)惡意的CSRF攻擊URL地址,當(dāng)訪客訪問某特定網(wǎng)頁時(shí)����,如果點(diǎn)擊了該URL地址就會(huì)觸發(fā)攻擊。然后在該惡意的URL地址對(duì)應(yīng)的網(wǎng)頁中����,利用 <img src="" /> 來向目標(biāo)網(wǎng)站發(fā)生一個(gè)get請(qǐng)求����,該請(qǐng)求會(huì)攜帶cookie信息����,也就借用了訪客的身份偽造了一個(gè)請(qǐng)求,該請(qǐng)求可以是目標(biāo)美國(guó)服務(wù)器網(wǎng)站中的用戶有權(quán)限訪問的任意請(qǐng)求����。也可以使用javascript構(gòu)造一個(gè)提交表單的post請(qǐng)求。比如構(gòu)造一個(gè)轉(zhuǎn)賬的post請(qǐng)求����。
