CSRF漏洞浅谈-(视频)

CSRF漏洞浅谈

(Cross Site Request Forgery)

csrf.png

  • CSRF简介

CSRF全名是Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。其通过利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作。

  • 漏洞原理

因为Web应用程序在用户进行敏感操作时,如修改账户密码、添加账户、转账等操作时,没有进行如检验表单Token、http请求头中的referer值等防御措施,从而导致恶意攻击者利用被攻击者的身份完成敏感操作。

  • CSRF攻击流程

攻击者发现CSRF漏洞——构造恶意代码——发送给受害人——受害人打开——受害人执行代码——完成攻击


  • 黑客攻击流程

*受害者登录a.com,并保留了登录凭证(Cookie)。
*攻击者引诱受害者访问了b.com。
*b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
*a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
*a.com以受害者的名义执行了act=xx。
*攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作。
csrf1.png


  • 试炼关
  • 小案例

掌控安全第三关

  • dvwa csrf关卡
  1. 简单伪造 (原理)

csrf4.png

  • 包装伪造

csrf5.png

  • 中级绕过

csrf6.png


  • 简单视频讲解:

暂不添加,后续有时间会添加视频。
有需要的可以加群:894343165

Mucn

Mucn

不管,看了我的博客就得帮忙转载,快点转载一下哦!❤️✔️

留下你的评论

快留下你的小秘密吧