浅谈CSRF

  • 内容
  • 相关

什么是CSRF呢?

CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

我举个栗子:

比如,有一个URL是www.xxx.xxx/money?name1=free&qian=6666&name2=me 这段URL的意思大概就是,free给me转账6666元的时候发起的请求,那么,攻击者是否可以将me改成他自己的用户:www.xxx.xxx/money?name1=free&qian=6666&name2=hack 假如这hack是攻击者用户,那么攻击者自己访问这个请求是没有任何效果的,那么我们可以使用社工,打广告等其他方法让free打开这个url,比如在广告里写这么一段话<img src=www.xxx.xxx/money?name1=free&qian=6666&name2=hack>那么现在,受害者就访问了这个网站,将6666元转给了hack,就算他去查看转账明细(一般都有这功能),也是一次正常的转账。那么,这样就是成功的利用CSRF攻击来犯罪了。。。。


有人会觉得CSRF和XSS很相像,那么我们来看下区别:

  • xss:用户过分信任网站,放任来自浏览器地址栏代表的那个网站代码在自己本地任意执行。如果没有浏览器的安全机制限制,xss代码可以在用户浏览器为所欲为。


  • csrf:网站过分信任用户,放任来自所谓通过访问控制机制的代表合法用户的请求执行网站的某个特定功能。





本文标签:

版权声明:若无特殊注明,本文皆为《only_free》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗已收录]

本文链接:浅谈CSRF - https://www.0dayhack.com/post-830.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注