【DoraBox实战】————3、CSRF分析与研究

【DoraBox实战】————3、CSRF分析与研究_第1张图片

CSRF简介

CSRF的全名为Cross-site request forgery,它的中文名为跨站请求伪造。

CSRF是一种挟持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。

你也可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

CSRF原理

下图简单阐述了CSRF攻击的思想:

【DoraBox实战】————3、CSRF分析与研究_第2张图片

从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:

你可能感兴趣的:(【渗透测试实战2】,————DoraBox)