CSRF：跨站請求偽造

• CSRF與XSS的區(qū)別
• 原理
• 特點
• 漏洞利用條件
• 自動掃描程序的檢測方法
• 例

CSRF與XSS的區(qū)別

1.XSS：利用用戶對站點的信任
2. CSRF：利用站點對已經(jīng)身份認證的信任

原理

特點

漏洞利用條件

防護：

二次認證，確認機制(驗證碼)

Captcha（驗證碼）

anti-CSRF token（生成隨機值拼接到url上）

Referrer頭

降低會話超時時間

自動掃描程序的檢測方法

例

GET方法

隨意提交，burpsuit截斷

復(fù)制url，構(gòu)造偽造鏈接

將鏈接發(fā)送給用戶，誘使點擊

密碼修改成功

hacker等待一段時間后嘗試用新密碼登錄

POST方法

burp截包，生成CSRF PoC(專業(yè)版)

/var/www/html下新建一個csrf_post.html,將生成的CSRF PoC復(fù)制進去。

訪問csrf_post.html，點擊按鈕，密碼修改成功。

總結(jié)

以上是生活随笔為你收集整理的CSRF：跨站请求伪造的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。