CSRF定义: 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击 *** 。
简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
CSRF地位:是一种 *** 攻击方式,是互联网重大安全隐患之一,NYTimes.com( *** )、Metafilter,YouTube、Gmail和百度HI都受到过此类攻击。
对比XSS:跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
CSRF 攻击实例
daguanren(大官人)在银行有一笔存款,输入用户名密码登录银行网银后发送请求进行个人名下账户转账 :
http://www.bank.example/withdraw?account=daguanren1&amount=999&for=daguanren2
将daguanren1中的999块转到了daguanren2账号中。通常用户登录后,系统会保存用户登录的session值(可能是用户手机号、账号等)。但如果这时daguanren不小心新开一个tab页面进入了一个黑客jinlian(金莲)的网站,而金莲网站的页面中嵌有如下html标签:
微信备份的聊天记录怎么查看?随着时代的进步,大家更换新手机的速度也越来越快,换手机很简单,但随之而来的问题就是数。 微信聊天记录怎么保存?我们在使用微信的过程中,会有一些重要的聊天记录想要保存下来,除...
本文目录一览:...
快递公司执行实名实际效果微乎其微 快递实名制将推手机app实名。3月1日,由我国质检总局、中间综治办、国家标准委协同公布的《社会治安综合治理基础数据规范》国家行业标准宣布执行。标准规定快递企业贯彻...
广州高端伴游小学妹在线预约【杨桂兰】 今天给大家分享的内容是“广州高端伴游小学妹在线预约【杨桂兰】”,我是杨桂兰,来自鹰潭市,今年24岁,作为职业:济南伴游,我热爱我的职业:济南伴游。三圍:胸64...
微软本周给出了Windows Defender 4.18.1908.7版本更新来以修补此前的漏洞,结果却引发了新漏洞出现,致使该杀毒工具的快速扫描(Quick scan)与完整扫描(Full s...
本文目录一览: 1、这个米读小说里的广告小说是什么? 2、求女主是黑客的小说 3、女主是一名黑客特别拽,男主抚养女主长大或者收养女主也可以。有木有?求文!!! 4、米读极速上的两位大佬的那...