首页 > 其他分享 >CSRF漏洞

CSRF漏洞

时间:2024-08-31 16:38:00浏览次数:9  
标签:XSS 浏览器 漏洞 COOKIE CSRF 攻击者 cookie

CSRF-跨站请求伪造(客户端请求伪造) 原理:

一:CSRF攻击:攻击者盗用了你的身份(即用了你的COOKIE),以你的名义进行某些非法操作。CSRF能够修改你的密码,使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产等。 攻击者盗用了你的身份 对于网站而言,身份的标识为cookie

二:要完成一次CSRF攻击,受害者必须依次完成两个步骤:

1:登录受信任网站A,并在本地生成Cookie
2:在不登出A的情况下,访问恶意网站B
3:必须是同一浏览器,因为不同浏览器不能相互利用COOKIE


对比XSS和CSRF

XSS:获取你的cookie,知道cookie具体的值 CSRF:盗取cookie,不知道cookie具体的值

标签:XSS,浏览器,漏洞,COOKIE,CSRF,攻击者,cookie
From: https://www.cnblogs.com/Crushz-2024/p/18390448

相关文章

  • 文件包含漏洞
    开发人员通常会把可重复使用的函数写到单个文件中,在使用到某些函数时,可直接调用此文件,而无须再次编写,这种调用文件的过程被称为包含注意:对于开发人员来讲,文件包含很有用,可以简化代码文件包含漏洞的产生原因是在通过引入文件时,由于传入的文件名没有经过合理的校验,或者校验被绕过,......
  • SSRF漏洞
    原理:服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。利用一个可发起网络请求的服务当作跳板来攻击其他服务ssrf形成原因服务端提供了从其他服务器获取数据的功能,但没有对内网目标地址做过滤与限制能用ssrf作什么如何......
  • 变量覆盖漏洞
    原理变量覆盖指的是可以用我们的传参值替换程序原有的变量值常出现位置经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,开启了全局变量注册等。函数解析经常引发变量覆盖漏洞的函数有:extract()parse_str()extract()函数(作用:将数组中将......
  • 命令执行漏洞
    原理:用户输入的数据被当做系统命令进行执行//其实一句话木马的本质就是一个命令执行漏洞。用户输入的数据被当做系统命令进行执行。在PHP存在诸多函数可以做到命令执行。1、system('whoami');PHP会操纵计算机执行whoami的命令,且输出并返回结果注意:目标机器是linux执行的就......
  • XSS漏洞
    XSS(跨站脚本攻击,Cross-SiteScripting)是一种常见的网络攻击方式,攻击者通过向网页中注入恶意脚本,使得这些脚本在其他用户的浏览器中执行。XSS漏洞通常出现在网站对用户输入的数据缺乏适当的验证和过滤,导致恶意代码被注入并执行。XSS漏洞的基本原理1:什么是XSS:XSS攻击的核心是,攻击......
  • 文件上传漏洞
    文件上传漏洞的基本原理1:什么是文件上传漏洞:文件上传漏洞指的是,攻击者通过上传功能,将精心构造的恶意文件上传到服务器。由于服务器对上传的文件缺乏适当的验证和过滤,恶意文件得以在服务器上执行或被服务器误认为是合法文件,导致一系列安全问题。2:文件上传漏洞的攻击方式:文件上......
  • 小白学安全:轻松搭建DVWA网站漏洞靶场
    DVWA是一个故意设计成充满漏洞的PHP应用程序,用于渗透测试目的。它包含了多种常见的Web应用程序安全漏洞,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等,让学习者可以在一个安全可控的环境中实践识别和利用这些漏洞的方法,从而更好地理解和防御实际中的网络安全威胁。DVWA提供不......
  • 文件上传漏洞
    webshell什么是webshell?webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一......
  • 致远互联-分析云 getolapconnectionlist 逻辑漏洞
       声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。一、漏洞描述致远分析云是由北京致远互联精心打造的一站式数据分析平台,旨在助力企业实现数字化转型升级。二,fofa语法body="js/lib/ba.co......
  • 【漏洞分析】OSN 代币攻击事件:一笔资金伪造多个分红大户
    背景OSN是一种feeontransfer代币,会根据用户分红账户的余额对用户发放分红。攻击者利用漏洞增发分红账户的余额,随后触发分红机制完成获利。OSN:https://bscscan.com/address/0x810f4c6ae97bcc66da5ae6383cc31bd3670f6d13#code攻击由三笔交易组成:https://app.blocksec.com/......