CSRF漏洞原理/防御

本文阅读 2 分钟
首页 安全分享,WEB安全 正文

CSRF( 跨站请求伪造 ) 

原理

CSRF是指攻击者利用已登录的用户身份 , 伪造用户请求 , 从而执行非法操作

触发点/检测

 CSRF常出现在留言,论坛,后台管理,用户中心等功能

CSRF有三个前提

        第一 , 目标用户处于登录状态

        第二 , 后端代码逻辑不严谨 , 没有验证用户身份

        第三 , 也是最重要的一点 , 用户点击恶意链接

检测CSRF最简单的方法就是抓取一个正常请求的数据包,去掉Referer再提交,如果提交还有效,就说明存在CSRF

防御

CSRF的防御主要在于验证用户身份 , 比如 验证 HTTP Referer , 验证 Token令牌

        Referer用来确定请求的源地址,只要请求不是来自自家网站,就拒绝请求

        除了Referer以外,也可以通过自定义的HTTP header来验证请求来源

        而Token就像是用户的唯一标识,随机生成Token分别保存在客户端和服务端

        提交请求的时候验证Token,Token不匹配,就拒绝请求

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/118676720
-- 展开阅读全文 --
Redis底层数据结构--跳跃表
« 上一篇 04-28
BUUCTF Web [强网杯 2019]随便注
下一篇 » 06-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复