<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基网 首页 安全 Web安全 查看内容

      网络安全之CSRF(跨站点请求伪造)

      2019-8-15 14:24| 投稿: xiaotiger |来自: 互联网


      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

      摘要: 1.什么是CSRF?跨站点请求伪造(也称为CSRF)是一个Web安全漏洞,允许攻击者诱使用户执行他们不打算执行的操作。比如以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但 是攻击者却可能完成了所他期望的操作(以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、 ...

      1.什么是CSRF?

      跨站点请求伪造(也称为CSRF)是一个Web安全漏洞,允许攻击者诱使用户执行他们不打算执行的操作。比如以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但 是攻击者却可能完成了所他期望的操作(以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转?#35828;?。

      2.CSRF原理

      • 用户A打开浏览器,访问受信任网站B,网站B要求用户A输入用户名和密码请求登录网站B
      • 在用户信息通过验证后,网站B产生Cookie信息并返回给浏览器,此时用户登录网站B成功,可以正常发送请求到网站B;
      • 在用户A退出网站B之前,在同一浏览器中,用户A?#25191;?#24320;了一个页面访问网站C(带有CSRF恶意代码的网站);
      • 4. 网站C?#37038;?#21040;用户A请求后,执行了CSRF恶意代码,发出一个请求要求访问第三方站点B;
      • 5. 浏览器在?#37038;?#21040;这些CSRF恶意代码后,根据网站C的请求,在用户不知情的情况下携带着他的Cookie信息,向网站B发出请求。但是网站B并不知道该请求不是由用户A发起的,而是由网站C发起的,所以网站B会根据用户A的Cookie信息以A的权限处理该请求,导致来自网站C的CSRF恶意代码被执行。
      • 注:Cookie指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过?#29992;?。

      3.CSRF攻击成功的三个关键条件

      • 相关行动。应用程序中存在攻击者有理由诱导的操作。这可能是特权操作(例如修改其他用户的权限)或对用户特定数据的任何操作(例如更改用户自己的密码)。
      • 基于Cookie的会话处理。执行操作涉及发出一个或多个HTTP请求,并且应用程序仅?#35272;?#20250;话cookie来标识发出请求的用户。没有其他机制可用于跟踪会话或验证用户请求。
      • 没有不可预测的请求?#38382;?/strong>执行操作的请求不包含攻击者无法确定或猜测其值的任何?#38382;?#20363;如,当导致用户更改其密码?#20445;?#22914;果攻击者需要知道现有密码的值,则该功能不容?#36164;?#21040;攻击。

      4.防止CSRF攻击

      抵御CSRF攻击的最?#34892;?#26041;法是在相关请求中包含CSRF令牌。CSRF令牌应该具有以下特点:

      • 高熵不可预测。
      • 绑定到用户的会话。
      • 在相关行动执行之前,在每种情况下都经过严格的验证。

      其中主要的防止CSRF攻击的方式有:

      • 验证 HTTP Referer 字段
      • 在请求地址中添加 token 并验证
      • 在 HTTP 头中自定义属性并验证

      5.常见的CSRF漏洞

      • CSRF令牌的验证取决于请求方法
      • CSRF令牌的验证取决于令牌存在
      • CSRF令牌与用户会话无关
      • CSRF令牌绑定到非会话cookie
      • CSRF令牌只是在cookie中复制
      • Referer的验证取决于标题存在


      小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

      本文出自:https://www.toutiao.com/a6725040508818686467/

      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


      鲜花

      ?#24080;?/a>

      雷人

      路过

      鸡蛋

      相关阅读

      最新评论

       最新
      返回顶部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>
              足球预测猎球者 天津十一选五36期 昨天河南快三开奖结果直播现场 澳客网官网 怎么分辨真钱假钱 2元彩票年终奖 中国福彩中心地址 ag真人视讯是什么接口 无广告印刷六合图库 15选5中奖分布图 吉林快3和值走势一定牛 广东26选5选号技巧 福利彩票双色球开奖结果 百人牛牛有没有漏洞 2019年白小姐综合免费料