[CSRF漏洞]概念原理,get型,post型,token措施
2022/4/3 6:22:54
本文主要是介绍[CSRF漏洞]概念原理,get型,post型,token措施,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
Cross-site request forgery
简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。
get型
漏洞判断:
修改敏感信息时,使用bs进行抓包,查看get传参的信息,如果没有token之类的话
利用:
修改敏感信息时,使用bs进行抓包,查看get传参的信息,将信息和URL进行进行组合,修改信息中的传参信息,把链接发送给用户就可以了
post型
类似xss的post型
修改敏感信息时,使用bs进行抓包,修改包post中的信息,建立一个恶意站点,把恶意站点发给用户,用户点击恶意站点时,将修改后的敏感信息的包发送给这个存在csrf漏洞的网站
TOKEN
每次打开修改界面,都会服务器生成一个唯一,随机的token,然后发送给前端,提交信息时token也要一同提交
如果采取了token措施,修改操作是黑客所为时,黑客的传参中就必须有token,然鹅黑客不可能猜到token,或者token压根不存在
token对csrf很有效
后端TOKEN的生成例
这篇关于[CSRF漏洞]概念原理,get型,post型,token措施的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-05-29Elasticsearch慢查询日志配置
- 2024-05-29揭秘华为如此多成功项目的产品关键——Charter模板
- 2024-05-29海外IDC业务拓展的7大挑战
- 2024-05-29InLine Chat功能优化对标Github Copilot,CodeGeeX带来更高效、更直观的编程体验!
- 2024-05-29CodeGeeX 智能编程助手 6 项功能升级,在Visual Studio插件市场霸榜2周!
- 2024-05-29AutoMQ 生态集成 Apache Doris
- 2024-05-292024年IDC行业的深度挖掘:机遇、挑战与未来展望
- 2024-05-29五款扩展组件齐发 —— Volcano、Keda、Crane-scheduler 等,邀你体验
- 2024-05-29AutoMQ 对象存储数据高效组织的秘密: Compaction
- 2024-05-29活动预告|来 GIAC 大会听大数据降本利器:AutoMQ 基于云原生重新设计的 Kafka