且知勉]csrf攻擊預防的辦法(csrf攻擊基本原理與處理訣竅)

? 環球腕表資訊

提到CSRF不少小伙伴應該很清晰了,不太清楚也無所謂,大家下面來探討一下。

跨站請求仿冒(英文:Cross-site request forgery),又被稱為 one-click attack 或是 session riding,一般簡稱為 CSRF 或是 XSRF, 是一種挾制用戶在目前已登錄的Web應用程序流程上實行非本意操作的攻擊方式。跟跨網址腳本制作(XSS)對比,XSS 利用的是用戶對特定網址的認可,CSRF 利用的是網址對用戶瀏覽器工具的認可。

未盡事宜來源于百科

那接下來大家詳盡討論一下跨站請求仿冒:

 


如何避免CSRF攻擊,你用到過嗎?

 

跨站請求攻擊,簡單來說,是攻擊者通過一些方式方法出軌用戶瀏覽器去瀏覽一個自己以前驗證完的網址并運作一些實際操作(如發送郵件,發信息,乃至資產實際操作如轉帳和購買東西)。因為電腦瀏覽器以前驗證過,因此被瀏覽網站會以為是名副其實的用戶實際操作而走運作。這利用了web中用戶身份認證的一個系統漏洞:簡單身份認證只有確保請求只想說某一用戶瀏覽器,卻無法保證請求本身就是用戶自行發出。

了解 CSRF 攻擊的最好方式是看一個實際的事例。

假定你的銀行網站提供了一個表格,容許把資金從現階段登陸的用戶遷移到另一個銀行帳戶。比如,轉帳報表很有可能具體如下:

 

action = "/transfer" >

name = "amount" />

name = "routingNumber" />

name = "account" />

<鍵入種類= “遞交”

值= “傳送” />

 

 

對應的 HTTP 請求很有可能具體如下:

傳送 HTTP 請求

POST /傳送 HTTP/1.1

服務器:bank.example.com

Cookie:JSESSIONID=randomid

內容類型:應用軟件/x-www-form-urlencoded

額度=100.00&routingNumber=1234&account=9876

如今假定你對銀行網站展開了身份認證,之后在不銷戶的情形下瀏覽一個邪惡的網址。該邪惡網站包括一個 HTML 網頁頁面,其文件格式如下所示

惡邪遷移方式

 

action = "https://bank.example.com/transfer" >

name = "amount"

value = "100.00" />

name = "routingNumber"

value = "evilsRoutingNumber" />

name = "account"

value = "evilsAccountNumber" />

value = "Win Money!" />

 

 

你喜愛盈利,因此你點一下提交按鈕。在這個過程中,您不經意中往故意用戶轉移了 100 美金。產生這些問題的主要原因是,盡管垃圾網站沒法看到您的 cookie,但與你銀行的關聯 cookie 仍會隨著請求一起推送。

最糟的是,這全過程原本可以應用 JavaScript 完成自動化技術。這就意味著您乃至不用點擊按鍵。除此之外,在瀏覽做為XSS 攻擊受害人的誠信網站時,它還很容易引發。那我們怎樣保護他們的用戶免遭該類攻擊呢?

那我們究竟有哪些方法能解決,或是防止這類CSRF攻擊呢,熱烈歡迎留有小伙伴們的看法

原創文章,作者:leping,如若轉載,請注明出處:http://www.qdgszy.com/hq-1431.html

(0)
上一篇 2022年9月18日 下午9:14
下一篇 2022年9月18日 下午11:05

相關推薦

日韩三级片网站,嫩草影视欧美,国产裸体歌舞一区二区,久久不射视频