CSRF定义: 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击 *** 。
简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
CSRF地位:是一种 *** 攻击方式,是互联网重大安全隐患之一,NYTimes.com( *** )、Metafilter,YouTube、Gmail和百度HI都受到过此类攻击。
对比XSS:跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
CSRF 攻击实例
daguanren(大官人)在银行有一笔存款,输入用户名密码登录银行网银后发送请求进行个人名下账户转账 :
http://www.bank.example/withdraw?account=daguanren1&amount=999&for=daguanren2
将daguanren1中的999块转到了daguanren2账号中。通常用户登录后,系统会保存用户登录的session值(可能是用户手机号、账号等)。但如果这时daguanren不小心新开一个tab页面进入了一个黑客jinlian(金莲)的网站,而金莲网站的页面中嵌有如下html标签:
前不久,北京公安通告了一起小伙在太庙御道照相被拘留的案子,北京公安表明太庙是全国各地关键文化遗产保护企业,该小伙驾驶员旅游景区照相违背了《中华人民共和国治安管理处罚法》,现阶段该小伙早已被治安拘留,文...
【1】 《四时田园杂兴》范成大 昼出耘田夜绩麻,村子子女各当家的。 童孙未解供耕织,也傍桑阴学种瓜。 【2】 《乡村四月》翁卷 绿遍山原白满川,子规声里雨尘烟。 乡村四月闲杂人等少,才了桑蚕又插田。...
一、帮忙手机定位怎么找黑客 1、找网站接单此时,计算机空间已被私有化为个人拥有的财产社会,不能再允许黑客采取行动利用法律和其他措施来控制它。帮忙手机定位黑博彩他可以追溯到几十年前第一台小型计算机诞生的...
本文导读目录: 1、学习黑客需要先学习什么基础? 2、学习黑客需要先学习什么基础?(零基础) 3、成为黑客所需基础有哪些? 4、黑客需要学什么? 5、想成为一名的黑客 必须学习哪些课程...
中新网1月14日电 据欧联网援引欧联通讯社报道,当地时间13日,意大利民防部通报新增确诊病例15774例,累计确诊病例已达2319036例;新增死亡病例507例,累计死亡病例增至80326例。意大...
网络黑客能侵入微信吗(网络黑客同歩手机微信是真是假) 听信的广告宣传接二连三地掉入圈套 陈女士来公安局了。"(图片出处:下城公安局) 近期,浙江省杭州派出所下城大队石桥公安局会见了陈女...