首页 > 其他分享 >CSRF攻击

CSRF攻击

时间:2023-03-23 20:33:06浏览次数:31  
标签:XSS 受害者 攻击 blog 网站 CSRF

CSRF攻击原理

CSRF (Cross-site Request Forgery,跨站请求伪造,也被称为"one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。

XSS利用站点内的信任用户(受害者),而CSRF通过伪装来自受信任用户的请求来利用受信任的网站。

通过社会工程学的手段(如通过电子邮件发送一个链接)来盖惑受害者进行一些敏感性的操作,如修改密码、修改E-mail、转账等,而受害者还不知道他已经中招

CSRF攻击危害

CSRF的破坏力依赖于受害者的权限

如果受害者只是个普通的用户,则一个成功的CSRF攻击会危害用户的数据以及一些功能

如果受害者具有管理员权限,则一个成功的CSRF攻击甚至会威胁到整个网站的安全。

与XSS攻击相比,CSRF攻击往往不太流行(因此对其进行防范的资源也相当稀少)和难以防范。

故被认为比XSS更具危险性,所以CSRF在业内有个响当当的名字——沉睡的巨人。

典型的CSRF攻击传递

Alice登录了一个金融网站mybank.com

Bob 知道这个金融网站mybank.com,并且发现这个网站的转账功能有CSRF漏洞。

于是,Bob 在myblog.com 上发表了一条blog,这个blog支持img自定义功能

 

 Alice在自己的浏览器上打开了另一个标签页正好也读到这个blog。

CSRF攻击预防

1、增加一些确认操作

2、重新认证

3、使用Token

标签:XSS,受害者,攻击,blog,网站,CSRF
From: https://www.cnblogs.com/shenziyi/p/17249283.html

相关文章

  • 跨站脚本攻击
    跨站脚本攻击XSS攻击原理跨站脚本攻击(CrossSiteScripting),XSS是一种经常出现在web应用中的计算机安全漏洞它允许恶意web用户将代码植入到提供给其它用户使用的页面中......
  • 会话管理机制、SQL注入攻击
    会话管理机制会话管理概述绝大多数Web应用程序中,回话管理机制是一个基本的安全组件回话管理在应用程序执行登录功能时显得特别重要因为,它可以在用户通过请求提交他们的......
  • 跨站点请求伪造(CSRF)
    跨站点请求伪造(CSRF)是一种欺骗受害者用户提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行不在预期范围内的功能。对于大多数站点,浏览器会自动请求包括与站......
  • 恒创科技:如何防止服务器IP DDOS攻击?
    当今网络安全技术的发展,IPDDoS攻击的威胁也越来越严重,攻击者会攻击网络的关键网络资源,从而造成严重的损失。因此,保护网络资源,有效的防御IPDDoS攻击,已经成为当今网络安......
  • springboot防止XSS攻击和sql注入
     文章目录1.XSS跨站脚本攻击①:XSS漏洞介绍②:XSS漏洞分类③:防护建议2.SQL注入攻击①:SQL注入漏洞介绍②:防护建议3.SpringBoot中如何防止XSS攻击和......
  • $\mathcal{Crypto}$ 共模攻击原理实现以及$\mathcal{CRT}$优化
    共模攻击概述共模攻击是一种攻击\(RSA\)加密的技术,当两个密文使用相同的\(RSA\)公共模数时,攻击者可以使用中国剩余定理\((CRT)\)和最大公因数\((GCD)\)算法,推导出明文。这......
  • Spring Boot 如果防护 XSS + SQL 注入攻击 ?一文带你搞定!
    1.XSS跨站脚本攻击①:XSS漏洞介绍跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻......
  • XSS和CSRF漏洞
    XSS和CSRF漏洞目录XSS和CSRF漏洞XSS漏洞介绍XSS分类利用XSS漏洞如何实行攻击利用XSS盗取用户的Cookie利用XSS实行钓鱼利用XSS进行键盘监控CSRF漏洞介绍CSRF漏洞攻击条件CS......
  • 攻击树测试
    攻击树1给如何偷汽车创建攻击树。在这道题以及其他攻击树的练习题中,可以通过图来描述攻击树,也可以使用一个编号的列表来描述攻击树(比如,1,1.1,1.2,1.2.1,1.2.2,1.3,…)。信息......
  • pikachu-CSRF
    CSRF(跨站请求伪造)概述Cross-siterequestforgery简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,......