CSRF漏洞简介
今天继续给大家介绍渗透测试相关知识,本文主要内容是CSRF漏洞原理、产生与危害。
免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!
一、CSRF漏洞基本介绍
CSRF是Cross Site Request Forgery的缩写,即跨站请求伪造。CSRF漏洞会构造恶意链接,诱导用户点击,然后利用用户尚未失效的cookie等身份凭证,冒充用户进行一系列操作。
与XSS漏洞攻击相比,CSRF漏洞中攻击者并不能直接获取到目标用户的cookie,而是在目标用户不知情的情况下,使其发送含有cookie的特定操作的数据包,从而达到特定目的。
二、CSRF漏洞产生与原理
CSRF漏洞实现过程如下图所示:
从上图中我们可以看出,攻击者首先创建了一个网站,该网站内含有恶意链接。如果用户在同时访问某一特定网站,那么这个恶意链接就会使得用户向该特定的网站发送一个请求。当前浏览器机制会在向该网站发送请求时携带有cookie信息,从而被特定网站认为是该用户的操作。但是在本质上,该用户并不知情,之所以这个数据包发送出去,完全是由于攻击者网站的恶意链接。
CSRF漏洞攻击根据数据提交方式的不同,可以分为GET型CSRF和POST型CSRF。GET型和POST型的区别在于,目标站点对于数据的提交是采取GET型的还是POST型的。
针对GET型的CSRF攻击,用户一打开页面就可能受到攻击,而对于POST型的CSRF攻击,用户可能被诱导点击链接,然后收到攻击。
三、CSRF漏洞危害
CSRF漏洞主要有以下危害:
1、以受害者名义发送邮件、发送消息
2、以受害者名义发起银行转账
3、以受害者名义购买商品
4、以受害者名义传播木马、蠕虫病毒
我们可以发现,CSRF漏洞可以盗用受害者的身份和权限,也可以配合其他漏洞,造成更大的危害。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200