国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

web安全二,CSRF攻擊

余學文 / 2089人閱讀

摘要:參考深入解析跨站請求偽造漏洞攻擊的應對之道相關安全,是一個很重要的技能,也是一個領域的知識。我把這個領域的東西寫成了一個系列,以后還會繼續完善下去安全一同源策略與跨域安全二攻擊安全三攻擊

什么是CSRF

全稱是(Cross Site Request Forgery)跨站請求偽造。也就是惡意網站偽裝成用戶向目標網站服務器發送請求,騙取服務器執行請求中的命令,直接在服務器改變數據值的一種攻擊手段。

CSRF是怎么產生的

用戶需要獲取操作的權限,目標網站服務器會要求一次驗證,通常都是一次賬號密碼登錄。服務器驗證通過之后,會在瀏覽器寫一個會話ID,來標識用戶的身份。這是一種隱式驗證的方法,用戶只要驗證一次獲取到會話ID之后,在會話ID未過期的一段時間內的請求操作是不需要再次驗證的。但服務器只能判斷請求是來源于這個授權過的瀏覽器,而不能判斷請求是否是用戶發起或者是用戶授權的。所以當用戶瀏覽了惡意網站之后,惡意網站就可以給服務器發起帶有命令的請求,嘗試改變服務器中的數據值。

CSRF的攻擊對象

CSRF的攻擊對象也就是我們要保護的對象。CSRF利用的是授權瀏覽器向目標網站服務器發送任何請求時,都會自動帶上會話ID或者cookie進行身份驗證。但是由于瀏覽器同源策略的限制,惡意網站無法看到目標網站的cookie或者回話ID,也沒有辦法解析返回的內容,所以惡意所能做的就是給服務器發送請求,以執行請求中所描述的命令,在服務器端直接改變數據的值,而非竊取服務器中的數據

CSRF的攻擊手段

利用天生具有跨域能力的標簽--

閱讀需要支付1元查看
<