CSRF漏洞原理+案例演示及修复策略
Posted 小白渗透成长之路
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF漏洞原理+案例演示及修复策略相关的知识,希望对你有一定的参考价值。
什么是CSRF
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
这里要注意这句话的几个词,诱导进入-在第三方网站中进行请求发送-受害机有执行请求的权限-冒充用户对网站执行操作。
一个简单的CSRF攻击流程
举例来说就是,A为学校网站管理员,B为黑客-M9(也就是我),我首先在我的网站中插入了学校网站后台创建一个test用户的恶意语句,这时候,假装我与A已经接触了很久,知道他每天几点会对网站进行维护,在维护期间,我可以将我的网站发给A,并告诉A这个网站每天都有一些0day漏洞更新(投其所好),这时候A如果没有关闭后台页面,直接在同一浏览器打开了我的网站,由于浏览器保存了Cookie,网站后台会认为这是A发送的请求,所以就以A的名义执行了我的恶意语句,在A不知情的情况下创建了test用户。 以上是关于CSRF漏洞原理+案例演示及修复策略的主要内容,如果未能解决你的问题,请参考以下文章 Hadoop 未授权访问原理扫描及Apache Hadoop YARN 资源管理器 REST API未授权访问漏洞原理扫描修复记录
这样一说应该就明白了吧!