国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

【web安全】深入理解CSRF漏洞的原理及利用方式

Reducto / 3145人閱讀

摘要:對于客戶端的攻擊,除了首當其沖的以外,也是一個非常重要的安全漏洞。漏洞是跨站請求偽造,也有少數文章中稱其,其實指的是同一個東西。這個漏洞的原理要分兩層,狹義的和廣義的。這就是絕大多數博客,以及白帽子講安全一書中道哥所提到的漏洞的執行方式。

對于web客戶端的攻擊,除了首當其沖的XSS以外,CSRF也是一個非常重要的安全漏洞。
CSRF漏洞是跨站請求偽造,也有少數文章中稱其XSRF,其實指的是同一個東西。
這個漏洞的原理要分兩層,狹義的CSRF和廣義的CSRF。
狹義的CSRF是指在黑客已經將代碼植入受害用戶的瀏覽器訪問的頁面的前提下,以“受害用戶”的身份向服務端發起一個偽造的http請求,從而實現服務器CURD來執行讀寫操作。
這就是絕大多數博客,以及《白帽子講web安全》一書中道哥所提到的CSRF漏洞的執行方式。
既然有狹義,也要說說廣義的CSRF。本質上講,CSRF漏洞就是黑客將一個http接口中需要傳遞的所有參數都預測出來,然后不管以什么方式,他都可以根據他的目的來任意調用你的接口,對服務器實現CURD。
所以說,其實CSRF并不一定非要借助受害用戶的瀏覽器,黑客可以自己寫腳本偽造出一個和真實的http請求一模一樣的數據包發給你的服務器,前提是你的這個http接口中的所有參數都是可以預期的。
需要說明的是,對于廣義的CSRF,是我自己的理解,在這一點上可能與書本上所講的內容存在一些出入。
狹義的CSRF的原理很簡單,實現難度也不大,無非就是寫兩行javascript代碼的ajax調用一下服務端的rest接口。
但是實現CSRF的關鍵在于,要么先找到一個xss漏洞,然后將黑客的惡意代碼植入到頁面中去的前提下才可以實現狹義的CSRF;要么構造出一個url,將參數設好,然后把url貼在網絡上像反射型XSS那樣騙用戶訪問這個url。
講到這里,其實不難發現,CSRF和XSS這兩個漏洞一旦結合起來,將會爆發出巨大的威力。那么對于CSRF應該如何防御?

查看原文

注:原創技術文章,為避免未經許可的匿名轉載,全部文章內容請移步原文閱讀,帶來的不便敬請諒解。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/90949.html

相關文章

  • web安全深入理解CSRF漏洞原理利用方式

    摘要:對于客戶端的攻擊,除了首當其沖的以外,也是一個非常重要的安全漏洞。漏洞是跨站請求偽造,也有少數文章中稱其,其實指的是同一個東西。這個漏洞的原理要分兩層,狹義的和廣義的。這就是絕大多數博客,以及白帽子講安全一書中道哥所提到的漏洞的執行方式。 對于web客戶端的攻擊,除了首當其沖的XSS以外,CSRF也是一個非常重要的安全漏洞。CSRF漏洞是跨站請求偽造,也有少數文章中稱其XSRF,其實指...

    104828720 評論0 收藏0
  • 網絡與安全

    摘要:面試網絡了解及網絡基礎對端傳輸詳解與攻防實戰本文從屬于筆者的信息安全實戰中滲透測試實戰系列文章。建議先閱讀下的網絡安全基礎。然而,該攻擊方式并不為大家所熟知,很多網站都有的安全漏洞。 面試 -- 網絡 HTTP 現在面試門檻越來越高,很多開發者對于網絡知識這塊了解的不是很多,遇到這些面試題會手足無措。本篇文章知識主要集中在 HTTP 這塊。文中知識來自 《圖解 HTTP》與維基百科,若...

    Integ 評論0 收藏0
  • 《網絡黑白》一書所抄襲文章列表

    摘要:網絡黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術也沒有干貨。 《網絡黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術...

    zlyBear 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<