浅谈CSRF攻击方式
来源:互联网 发布:网站域名申请流程 编辑:程序博客网 时间:2024/06/01 20:35
转自:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
一.CSRF是什么?
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
二.CSRF可以做什么?
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。
三.CSRF漏洞现状
CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。
四.CSRF的原理
下图简单阐述了CSRF攻击的思想:
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。是的,确实如此,但你不能保证以下情况不会发生:
1.你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站。
2.你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了......)
3.上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站。
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- 浅谈CSRF攻击方式
- [bzoj1782][Usaco2010 Feb]slowdown 慢慢游 dfs序+线段树
- 【leetcode】第75题 Sort Colors 题目+解析+JAVA代码
- U盘防拷贝选择隐大师
- iOS版本的APP已上线,但是AppStore里面按钮显示的是打开
- TP5.0实现无限极回复功能
- 浅谈CSRF攻击方式
- VTK环境配置中的一些问题
- 接Kafka数据比对不同hbase中数据
- 机器视觉Halcon——3. Halcon实例clip回形针方向识别
- [笔记]《操作系统精髓与设计原理》---(7)文件管理
- JAVA8新特性(一)——函数性编程
- 机器学习归纳总结
- Spring Cloud下微服务权限方案
- 【服务器】关于内存使用率的问题