5分钟科普CSRF攻击与防御
Posted 天时地利人和
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了5分钟科普CSRF攻击与防御相关的知识,希望对你有一定的参考价值。
一、CSRF介绍
CSRF(Cross-site request forgery)
跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
CSRF攻击与防御,web安全的第一防线(源码,实战,5分钟科普文)
上图为CSRF攻击的一个简单模型,用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网站A之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。
二、CSRF攻击的危害
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
如果CSRF发送的垃圾信息还带有蠕虫链接的话,那些接收到这些有害信息的好友万一打开私信中的连接就也成为了有害信息的散播着,这样数以万计的用户被窃取了资料种植了木马。整个网站的应用就可能在瞬间奔溃
以上是关于5分钟科普CSRF攻击与防御的主要内容,如果未能解决你的问题,请参考以下文章