跨站请求伪造

CSRF是什么?

跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求 ,而不是盗取数据,因为攻击者无法查看伪造请求的响应。

借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。

CSRF是跨站请求伪造攻击,它不像XSS和SQL注入会盗取用户的信息,它的目的是强制浏览器客户端用户执行攻击者想要用户达成的目的,也就是更改用户状态的请求,如:转移资金和修改密码等操作,它分为get型和post型攻击。

原理

攻击者的网站诱骗用户访问用户原本的网站,并带有自己的身份凭证(cookie),执行攻击者的要求的操作,跨网站攻击,这就是CSRF跨站请求伪造。

防御

验证Referer

添加token

同源策略

相关推荐
深盾安全1 小时前
ProGuard混淆在Android程序中的应用
安全
CYRUS_STUDIO2 小时前
利用 Linux 信号机制(SIGTRAP)实现 Android 下的反调试
android·安全·逆向
白帽黑客沐瑶7 小时前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
christine-rr7 小时前
linux常用命令(4)——压缩命令
linux·服务器·redis
深盾安全7 小时前
符号执行技术实践-求解程序密码
安全
東雪蓮☆7 小时前
深入理解 LVS-DR 模式与 Keepalived 高可用集群
linux·运维·服务器·lvs
树码小子7 小时前
Java网络编程:(socket API编程:TCP协议的 socket API -- 回显程序的服务器端程序的编写)
java·网络·tcp/ip
乌萨奇也要立志学C++8 小时前
【Linux】进程概念(二):进程查看与 fork 初探
linux·运维·服务器
贾维思基8 小时前
被监管警告后,我连夜给系统上了“双保险”!
安全
绿箭柠檬茶9 小时前
Ubuntu 服务器配置转发网络访问
服务器·网络·ubuntu