csrf攻擊原理及防備
阿新 • • 發佈:2019-01-27
1,csrf(cross-site request forgery),跨站點偽造請求;
是 受害者使用者 登入訪問 可信任網站A,在沒有退出的情況下,又訪問量 不可信任惡意網站B,網站B盜用使用者身份,發出惡意請求;
站外本質:提交伺服器外部資料問題;
站內本質:伺服器內部程式碼 接收資料漏洞,如濫用$_REQUEST等變數,是提交的get頁面
2,csrf攻擊分類 a,站內 和 站外 站外是 有人 偽造 不是使用者發出的請求表單,引誘使用者在使用該網頁發出惡意請求 站內 一般基於濫用 $request來的3,csrf 漏洞檢測
a.抓取請求包,去掉 referer欄位重新提交,提交還有效,基本確定有csrf漏洞;
關鍵點:請求中放入攻擊者不能偽造資訊,並且不放在cookie裡進行驗證; 在HTTP請求 以引數形式 加入 token ,並在伺服器端驗證token;token 不正確可視為scrf攻擊。 4.3在HTTP頭自定義屬性並驗證 token以引數形式設置於http請求中 使用者端的防禦 儘量不要點選網路論壇,聊天室,即使通訊或連結圖片;