PHP漏洞全解(六)-跨网站请求伪造
来源:互联网 发布:淘宝产品推广方法 编辑:程序博客网 时间:2024/05/21 01:47
本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的 HTTP 请求,事实上,跟踪一个用户发送的 HTTP 请求才是攻击者的目的。
CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。
例如:某个购物网站购买商品时,采用http://www.shop.com/buy.php?item=watch&num=1,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接
,那么如果目标用户不小心访问以后,购买的数量就成了1000个
实例
随缘网络PHP留言板V1.0
任意删除留言
//delbook.php 此页面用于删除留言
- include_once("dlyz.php"); //dlyz.php用户验证权限,当权限是admin的时候方可删除留言
- include_once("../conn.php");
- $del=$_GET["del"];
- $id=$_GET["id"];
- if ($del=="data")
- {
- $ID_Dele= implode(",",$_POST['adid']);
- $sql="delete from book where id in (".$ID_Dele.")";
- mysql_query($sql);
- }
- else
- {
- $sql="delete from book where id=".$id; //传递要删除的留言ID
- mysql_query($sql);
- }
- mysql_close($conn);
- echo "
- PHP漏洞全解(六)-跨网站请求伪造
- PHP漏洞全解(六)-跨网站请求伪造
- PHP漏洞全解(六)-跨网站请求伪造
- PHP漏洞全解(六)-跨网站请求伪造
- PHP漏洞全解(五)-跨网站请求伪造
- 【PHP-漏洞之一】跨网站请求伪造
- 跨网站请求伪造
- PHP漏洞全解(六)-Session劫持
- cPanel跨站请求伪造漏洞
- AppScan 测出 跨站点请求伪造 漏洞
- PHP漏洞全解(一)-PHP网站的安全性问题
- PHP漏洞全解(一)-PHP网站的安全性问题
- PHP漏洞全解(一)-PHP网站的安全性问题
- PHP漏洞全解(一)-PHP网站安全性问题
- PHP漏洞全解
- php漏洞全解
- PHP漏洞全解
- PHP漏洞全解
- hdu 4064 Carcassonne
- Channel、PANID、发射功率及其它参数(转)
- PHP漏洞全解(五)-SQL注入攻击
- Makefile.am文件的撰写
- WIN CE编译的四个阶段
- PHP漏洞全解(六)-跨网站请求伪造
- C# 写日志文件
- PHP漏洞全解(七)-Session劫持
- Android中通过代码检测系统是否有root权限
- PHP漏洞全解(八)-HTTP响应拆分
- java c3p0方式连接oracle mysql 的basedao
- 启动APACHE出现“error while loading shared libraries: libiconv.so.2”
- 2.0.0-CodeSminth 第一个例子
- Java Web性能优化