当前位置: 首页 > news >正文

CSRF漏洞简介

今天继续给大家介绍渗透测试相关知识,本文主要内容是CSRF漏洞原理、产生与危害。

免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!

一、CSRF漏洞基本介绍

CSRF是Cross Site Request Forgery的缩写,即跨站请求伪造。CSRF漏洞会构造恶意链接,诱导用户点击,然后利用用户尚未失效的cookie等身份凭证,冒充用户进行一系列操作。
与XSS漏洞攻击相比,CSRF漏洞中攻击者并不能直接获取到目标用户的cookie,而是在目标用户不知情的情况下,使其发送含有cookie的特定操作的数据包,从而达到特定目的。

二、CSRF漏洞产生与原理

CSRF漏洞实现过程如下图所示:
在这里插入图片描述
从上图中我们可以看出,攻击者首先创建了一个网站,该网站内含有恶意链接。如果用户在同时访问某一特定网站,那么这个恶意链接就会使得用户向该特定的网站发送一个请求。当前浏览器机制会在向该网站发送请求时携带有cookie信息,从而被特定网站认为是该用户的操作。但是在本质上,该用户并不知情,之所以这个数据包发送出去,完全是由于攻击者网站的恶意链接。
CSRF漏洞攻击根据数据提交方式的不同,可以分为GET型CSRF和POST型CSRF。GET型和POST型的区别在于,目标站点对于数据的提交是采取GET型的还是POST型的。
针对GET型的CSRF攻击,用户一打开页面就可能受到攻击,而对于POST型的CSRF攻击,用户可能被诱导点击链接,然后收到攻击。

三、CSRF漏洞危害

CSRF漏洞主要有以下危害:
1、以受害者名义发送邮件、发送消息
2、以受害者名义发起银行转账
3、以受害者名义购买商品
4、以受害者名义传播木马、蠕虫病毒
我们可以发现,CSRF漏洞可以盗用受害者的身份和权限,也可以配合其他漏洞,造成更大的危害。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

相关文章:

  • C/C++航空客运订票系统
  • 编译原理之词法分析器随笔和简单实现
  • 47 - 父子间的冲突
  • 单片机和ARM A的区别
  • STC 51单片机40——汇编语言 串口 接收与发送
  • python破解wifi教程
  • Android App开发即时通信中通过SocketIO在客户端与服务端间传输文本和图片的讲解及实战(超详细 附源码)
  • 【网络安全】文件上传之安全狗bypass
  • MATLAB | 世界杯来用MATLAB画个足球玩叭~
  • LeetCode | 循环队列的爱情【恋爱法则——环游世界】
  • Android App开发音量调节中实现拖动条和滑动条和音频管理器AudioManager讲解及实战(超详细 附源码和演示视频)
  • 电视剧里的代码真能运行吗?
  • 让我们进入面向对象的世界(三)
  • 动态域名解析
  • 《工程伦理》1-13章汇总
  • 【技术性】Search知识
  • canvas实际项目操作,包含:线条,圆形,扇形,图片绘制,图片圆角遮罩,矩形,弧形文字...
  • CSS实用技巧干货
  • fetch 从初识到应用
  • Java-详解HashMap
  • Laravel Mix运行时关于es2015报错解决方案
  • Linux Process Manage
  • MySQL数据库运维之数据恢复
  • php中curl和soap方式请求服务超时问题
  • python大佬养成计划----difflib模块
  • uni-app项目数字滚动
  • vue 配置sass、scss全局变量
  • 测试如何在敏捷团队中工作?
  • 关于Android中设置闹钟的相对比较完善的解决方案
  • 技术发展面试
  • 巧用 TypeScript (一)
  • 人脸识别最新开发经验demo
  • 使用iElevator.js模拟segmentfault的文章标题导航
  • 算法---两个栈实现一个队列
  • 小程序滚动组件,左边导航栏与右边内容联动效果实现
  • 验证码识别技术——15分钟带你突破各种复杂不定长验证码
  • 阿里云服务器如何修改远程端口?
  • ​RecSys 2022 | 面向人岗匹配的双向选择偏好建模
  • ​软考-高级-系统架构设计师教程(清华第2版)【第20章 系统架构设计师论文写作要点(P717~728)-思维导图】​
  • #{} 和 ${}区别
  • (3)llvm ir转换过程
  • (6)【Python/机器学习/深度学习】Machine-Learning模型与算法应用—使用Adaboost建模及工作环境下的数据分析整理
  • (ZT)薛涌:谈贫说富
  • (板子)A* astar算法,AcWing第k短路+八数码 带注释
  • (差分)胡桃爱原石
  • (第61天)多租户架构(CDB/PDB)
  • (第8天)保姆级 PL/SQL Developer 安装与配置
  • (附源码)springboot掌上博客系统 毕业设计063131
  • (附源码)ssm旅游企业财务管理系统 毕业设计 102100
  • (学习日记)2024.02.29:UCOSIII第二节
  • .NET CORE 3.1 集成JWT鉴权和授权2
  • @entity 不限字节长度的类型_一文读懂Redis常见对象类型的底层数据结构
  • [16/N]论得趣
  • [17]JAVAEE-HTTP协议
  • [20150629]简单的加密连接.txt