工资被黑客偷偷转账?那可能受到了CSRF攻击!手把手入门白帽子

Posted 安全犀牛

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了工资被黑客偷偷转账?那可能受到了CSRF攻击!手把手入门白帽子 相关的知识,希望对你有一定的参考价值。


(图片源于网络,侵删)

后台回复:CSRF,可以得到一些关于CSRF的案例资料!

再PS:文章转发有惊喜!拿着转发截图加小编好友,可以得到某些神秘的福利哦!

手把手入门白帽子系列,全学完就是一个合格的web安全工程师了!

1

什么是CSRF


概念:Cross-Site request forgery(跨站请求伪造),利用用户已登录的身份,在用户毫不知情的情 况下,以用户的名义完成非法操作。


CSRF 攻击迫使终端用户在通过验证后 web 应用中执行不必要的操作。在社会工 程帮助下(如通过电子邮件/聊天发送的链接),攻击者可能会迫使 Web 应用程序 用户执行攻击者所选择的行动。 


危害:执行恶意操作(“被转账”、“被发表垃圾评论”等)、制造蠕虫等 漏洞影响:当一个成功的 CSRF 漏洞的目标是普通用户时,它能够危害终端用户 的数据操作。但如果最终的目标用户是管理员账户,一个 CERF 攻击可以损害整 个 Web 应用程序。


2

CSRF示例


如下,正常修改密码页面,New password 输入 test,Confirm new password 输入 test,然后提交,密码修改成功。

工资被黑客偷偷转账?那可能受到了CSRF攻击!手把手入门白帽子 (四)

我们发现,这个修改密码的请求为 “ http://10.4.70.188/DVWA-1.9/vulnerabilities/csrf/?password_new=test&password_ conf=test&Change=Change ”, 此 时 , 我 们 打 开 新 的 窗 口 , 修 改 password_new=password 和 password_conf=password,访问显示如下:


工资被黑客偷偷转账?那可能受到了CSRF攻击!手把手入门白帽子 (四)


此时,密码已经被修改成功,如果该 URL 被黑客通过电子邮件或其他途径精心 伪造,诱惑你触发点击,则可直接修改当前用户配置,后果不堪设想。

3

CSRF攻击原理及过程


1 、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;


2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;


3、用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;


4、网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;


5.、浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。


工资被黑客偷偷转账?那可能受到了CSRF攻击!手把手入门白帽子 (四)

下篇预告:命令执行漏洞


小白学习社群

组了一个学习社群,只针对小白,三观不正勿扰!群内交友、答疑、问题讨论,想要入门网络安全的朋友快来加我好友吧。入群免费,但有门槛,每周只加20人!欢迎转发分享~~本周已满~~


工资被黑客偷偷转账?那可能受到了CSRF攻击!手把手入门白帽子 (四)

工资被黑客偷偷转账?那可能受到了CSRF攻击!手把手入门白帽子 (四)


推荐阅读






安全犀牛
资讯、交流、入群点关注

以上是关于工资被黑客偷偷转账?那可能受到了CSRF攻击!手把手入门白帽子 的主要内容,如果未能解决你的问题,请参考以下文章

CSRF的攻击与防御

CSRF的攻击与防御

解决百度网址安全中心提醒您:该站点可能受到黑客攻击,部分页面已被非法篡改

剖析使用CSRF攻击实现银行转账原理

了解跨站请求伪造CSRF

CSRF