CSRF定义: 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击 *** 。
简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
CSRF地位:是一种 *** 攻击方式,是互联网重大安全隐患之一,NYTimes.com( *** )、Metafilter,YouTube、Gmail和百度HI都受到过此类攻击。
对比XSS:跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
CSRF 攻击实例
daguanren(大官人)在银行有一笔存款,输入用户名密码登录银行网银后发送请求进行个人名下账户转账 :
http://www.bank.example/withdraw?account=daguanren1&amount=999&for=daguanren2
将daguanren1中的999块转到了daguanren2账号中。通常用户登录后,系统会保存用户登录的session值(可能是用户手机号、账号等)。但如果这时daguanren不小心新开一个tab页面进入了一个黑客jinlian(金莲)的网站,而金莲网站的页面中嵌有如下html标签:
2020年双十一活动已经开始,今年淘宝双十一养猫活动已经开始,很多小伙伴们已经开始找双十一养猫微信群互相助力升级了,不过除了要有养猫微信群之外,还要多了解养猫组队的攻略,这样才能玩转双十一养猫活动,接...
关于无人机主机,则是以1ms的周期来改变接纳信号的频率,一旦收到来自遥控器的射频信号(BK5811会运用上文所说的发送和接纳地址来辨认经过),则转而进入7ms的周期,和遥控器坚持同步。 一旦信号丢掉,...
猕猴桃如何快速催熟? 1.熟水果催熟 专家提醒猕猴桃一定要放熟后才能食用,否则不但其中一些物质不利于人体健康,同时涩涩的味道也非常的难吃。但是如果让猕猴桃自然熟的话肯定得等很长时间,这个时候如...
随着科技的发展,安眠药的进步,安眠药越来越安全了,国内还不清楚,外国有一个家伙吃了一整瓶还没死~~!不建人议进行尝试,你可以先拿一条狗做实验,狗要。 2016-04-09多少钱一颗,安眠药,在哪能买到...
导读:许多朋友在推广过程中,心里有想法,但形不成方案,不知道如去写方案,那么应众多好朋友的要求,把本人的一些落地方案汇整成文,希望能够对做网络推广的朋友能够有所帮助。 战略重点:以网络为重点辅以其他...
前几天去网吧打游戏的时刻有时发现的,索性打包上传, 分享给人人,也算是经典骨董级游戏推荐吧。 也许05年~06年吧,劲乐团风靡一时,厥后兴起的是统一公司9you的劲舞团, 厥后不知道因为啥缘故原...