转载:四叶草-CISP-PTE

服务器端请求伪造;是一种由*** 者构造形成由服务端发起请求的一个安全漏洞。一般情况下,×××F攻 击的目标是从外网无法访问的内部系统(正是因为它是由服务端发起 的,所以它能够请求到与它相连而与外网隔离的内部系统)

***f常见

  • 分享:通过URL地址分享网页内容 

  • b)  转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏 
幕浏览 

  • c)  在线翻译:通过URL地址翻译对应文本的内容。提供此功能的国内 
公司有百度、有道等 

  • d)  图片加载与下载:通过URL地址加载或下载图片 

  • e)  图片、文章收藏功能 


  • f)  未公开的api实现以及其他调用URL的功能 

    ***f 过滤

  • a)  过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。如果web应 用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回 的信息是否符合标准; 

  • b)  统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态; 

  • c)  限制请求的端口为http常用的端口,比如,80,443,8080,8090; 

  • d)  黑名单内网ip 

    crsf
    验证HTTPReferer字段;
    b) 在请求地址中添加token并验证;
    c) 在HTTP头中自定义属性并验证。

***者发现CSRF漏洞——构造代码——发送给受害人——受害人打开——受害人执 行代码——完成***

XSS漏洞:
***者发现XSS漏洞——构造代码——发送给受害人——受害人打开——***者获 取受害人的cookie——完成***
而且XSS容易发现,因为***者需要登录后台完成***。管理员可以看日志发现攻 击者;而CSRF则不同,他的***一直是管理员自己实现的,***者只负责了构造代 码