图:跨站请求伪造(CSRF)攻击原理解析

跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估。在“开放式Web应用程序安全项目”(OWASP)的榜单中,CSRF(又称XSRF)就位于前10的位置。简而言之,就是恶意软件强制浏览器在用户已认证的上下文环境中,执行原本并不需要的指令。

浏览器厂家深知这一危害,从而推出了某些类型的CSRF防护技术。

尽管如此,攻击者们的手段也在日益翻新,甚至结合多种类型的Web攻击以放大危害(比如XSS和SQL注入)。

举例来说,某CSRF通过XSS(跨站脚本)抓取了用户的cookies,然后借此将资金转出用户的银行账户。

为了抵御CSRF攻击,开发者们可以在表单上部署CAPTCHA、利用多步事务、以及单次使用加密数来强化他们的anti-CRSF令牌。

 

csrfkey什么是csrfcsrf如何工作设置scene攻击演示执行攻击潜在动机使用随机数使用验证码应用安全

上一篇:JavaScript后门深层分析

下一篇:PHP本地文件包含漏洞环境搭建与利用