CSRF定义: 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击 *** 。
简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
CSRF地位:是一种 *** 攻击方式,是互联网重大安全隐患之一,NYTimes.com( *** )、Metafilter,YouTube、Gmail和百度HI都受到过此类攻击。
对比XSS:跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
CSRF 攻击实例
daguanren(大官人)在银行有一笔存款,输入用户名密码登录银行网银后发送请求进行个人名下账户转账 :
http://www.bank.example/withdraw?account=daguanren1&amount=999&for=daguanren2
将daguanren1中的999块转到了daguanren2账号中。通常用户登录后,系统会保存用户登录的session值(可能是用户手机号、账号等)。但如果这时daguanren不小心新开一个tab页面进入了一个黑客jinlian(金莲)的网站,而金莲网站的页面中嵌有如下html标签:
本文目录一览: 1、现在当黑客的是不是都是大学毕业或者是高中毕业的? 2、黑客15岁少年能学么 3、想做一名黑客 要从什么开始学,有哪些好的书? 学历只是中专可以马?? 4、黑客要什么学,...
好莱坞大片中英雄人物为了躲避黑暗势力追踪可以黑掉监控,用虚假画面替代真实踪迹,也有狡猾的攻击者通过传输节点,控制执行机构所能接收到的监视画面,甚至因为不少公共摄像头在连接执法机构远程控制端的过程中...
王者荣耀中韩信大概需要多少钻石才能够抽取到呢?好多小伙伴们可能都还不是很清楚哦,来和小编一起看看关于韩信的钻石花费介绍吧! 王者荣耀韩信多少钻石能抽到 第一、钻石夺宝的幸运值是201,这个指的...
找黑客盗-全世界没有一个WiFi安全性了!WPA2加密已被破解 在昨天早上,传出了可燃性的信息:WiFi的关键加密方法:WPA2被破解。 这一含意是,即便 您拆换WiFi登陆密码,也没法维护信息内...
上半年,国内受勒索病毒进犯的计算机数量超越225.6万台(扫除WannaCry数据)。 2月的进犯量最高,较为失常,4、5、6三个月的进犯量则逐渐平稳下降,整体进犯量仍然较高。 gameofthron...
抖音红利当口,谁都想借抖音短视频的这股东风实现经济基础上跨层次的转变。但是,在短视频运营环节,单纯依靠平台系统的推荐引流,完成流量变现,对很多人来说不仅成功率低,而且见效周期长。抖音推广方案...