web漏洞--csrf

csrf:跨站点请求伪造

方向:特权操作、依靠cookie的会话、确定执行所需要的参数

我认为类似钓鱼,过程:攻击者盗用了你的身份,以你的名义发送恶意请求。

原理:用户登录正常网站a,服务器发送cookie值给客户,保存在浏览器,攻击者创建恶意网站b,将恶意代码植入到网站中,b收到用户请求后,将恶意代码执行,定向到正常网站,从中获取cookie伪造信息等相关操作

方式:创建web页面,植入恶意代码,向有漏洞的程序功能搞一个跨域请求,在代码中应该包括执行操作的所有步骤,再嵌套一个自动提交的表单,用户提交后会自动添加用户cookie,正常处理请求。

防御:同源策略,csrf-token

你可能感兴趣的:(web安全,网络安全)