C/C++教程

[CSRF漏洞]概念原理,get型,post型,token措施

本文主要是介绍[CSRF漏洞]概念原理,get型,post型,token措施,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

Cross-site request forgery

简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。

get型

漏洞判断:

修改敏感信息时,使用bs进行抓包,查看get传参的信息,如果没有token之类的话

利用:

修改敏感信息时,使用bs进行抓包,查看get传参的信息,将信息和URL进行进行组合,修改信息中的传参信息,把链接发送给用户就可以了

post型

类似xss的post型

修改敏感信息时,使用bs进行抓包,修改包post中的信息,建立一个恶意站点,把恶意站点发给用户,用户点击恶意站点时,将修改后的敏感信息的包发送给这个存在csrf漏洞的网站

TOKEN

每次打开修改界面,都会服务器生成一个唯一,随机的token,然后发送给前端,提交信息时token也要一同提交

如果采取了token措施,修改操作是黑客所为时,黑客的传参中就必须有token,然鹅黑客不可能猜到token,或者token压根不存在

token对csrf很有效

 

 后端TOKEN的生成例

 

 

 

 

 

 

 

 

 

这篇关于[CSRF漏洞]概念原理,get型,post型,token措施的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!