摘要:對于客戶端的攻擊,除了首當(dāng)其沖的以外,也是一個非常重要的安全漏洞。漏洞是跨站請求偽造,也有少數(shù)文章中稱其,其實指的是同一個東西。這個漏洞的原理要分兩層,狹義的和廣義的。這就是絕大多數(shù)博客,以及白帽子講安全一書中道哥所提到的漏洞的執(zhí)行方式。
對于web客戶端的攻擊,除了首當(dāng)其沖的XSS以外,CSRF也是一個非常重要的安全漏洞。
CSRF漏洞是跨站請求偽造,也有少數(shù)文章中稱其XSRF,其實指的是同一個東西。
這個漏洞的原理要分兩層,狹義的CSRF和廣義的CSRF。
狹義的CSRF是指在黑客已經(jīng)將代碼植入受害用戶的瀏覽器訪問的頁面的前提下,以“受害用戶”的身份向服務(wù)端發(fā)起一個偽造的http請求,從而實現(xiàn)服務(wù)器CURD來執(zhí)行讀寫操作。
這就是絕大多數(shù)博客,以及《白帽子講web安全》一書中道哥所提到的CSRF漏洞的執(zhí)行方式。
既然有狹義,也要說說廣義的CSRF。本質(zhì)上講,CSRF漏洞就是黑客將一個http接口中需要傳遞的所有參數(shù)都預(yù)測出來,然后不管以什么方式,他都可以根據(jù)他的目的來任意調(diào)用你的接口,對服務(wù)器實現(xiàn)CURD。
所以說,其實CSRF并不一定非要借助受害用戶的瀏覽器,黑客可以自己寫腳本偽造出一個和真實的http請求一模一樣的數(shù)據(jù)包發(fā)給你的服務(wù)器,前提是你的這個http接口中的所有參數(shù)都是可以預(yù)期的。
需要說明的是,對于廣義的CSRF,是我自己的理解,在這一點上可能與書本上所講的內(nèi)容存在一些出入。
狹義的CSRF的原理很簡單,實現(xiàn)難度也不大,無非就是寫兩行javascript代碼的ajax調(diào)用一下服務(wù)端的rest接口。
但是實現(xiàn)CSRF的關(guān)鍵在于,要么先找到一個xss漏洞,然后將黑客的惡意代碼植入到頁面中去的前提下才可以實現(xiàn)狹義的CSRF;要么構(gòu)造出一個url,將參數(shù)設(shè)好,然后把url貼在網(wǎng)絡(luò)上像反射型XSS那樣騙用戶訪問這個url。
講到這里,其實不難發(fā)現(xiàn),CSRF和XSS這兩個漏洞一旦結(jié)合起來,將會爆發(fā)出巨大的威力。那么對于CSRF應(yīng)該如何防御?
查看原文
注:原創(chuàng)技術(shù)文章,為避免未經(jīng)許可的匿名轉(zhuǎn)載,全部文章內(nèi)容請移步原文閱讀,帶來的不便敬請諒解。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/90949.html
摘要:對于客戶端的攻擊,除了首當(dāng)其沖的以外,也是一個非常重要的安全漏洞。漏洞是跨站請求偽造,也有少數(shù)文章中稱其,其實指的是同一個東西。這個漏洞的原理要分兩層,狹義的和廣義的。這就是絕大多數(shù)博客,以及白帽子講安全一書中道哥所提到的漏洞的執(zhí)行方式。 對于web客戶端的攻擊,除了首當(dāng)其沖的XSS以外,CSRF也是一個非常重要的安全漏洞。CSRF漏洞是跨站請求偽造,也有少數(shù)文章中稱其XSRF,其實指...
摘要:面試網(wǎng)絡(luò)了解及網(wǎng)絡(luò)基礎(chǔ)對端傳輸詳解與攻防實戰(zhàn)本文從屬于筆者的信息安全實戰(zhàn)中滲透測試實戰(zhàn)系列文章。建議先閱讀下的網(wǎng)絡(luò)安全基礎(chǔ)。然而,該攻擊方式并不為大家所熟知,很多網(wǎng)站都有的安全漏洞。 面試 -- 網(wǎng)絡(luò) HTTP 現(xiàn)在面試門檻越來越高,很多開發(fā)者對于網(wǎng)絡(luò)知識這塊了解的不是很多,遇到這些面試題會手足無措。本篇文章知識主要集中在 HTTP 這塊。文中知識來自 《圖解 HTTP》與維基百科,若...
摘要:網(wǎng)絡(luò)黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯(lián)網(wǎng)上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內(nèi)容全都是大量的科普,不涉及技術(shù)也沒有干貨。 《網(wǎng)絡(luò)黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯(lián)網(wǎng)上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內(nèi)容全都是大量的科普,不涉及技術(shù)...
閱讀 2084·2021-11-16 11:45
閱讀 582·2021-11-04 16:12
閱讀 1386·2021-10-08 10:22
閱讀 861·2021-09-23 11:52
閱讀 4147·2021-09-22 15:47
閱讀 3524·2021-09-22 15:07
閱讀 496·2021-09-03 10:28
閱讀 1742·2021-09-02 15:21