資訊專欄INFORMATION COLUMN
摘要:對(duì)于客戶端的攻擊,除了首當(dāng)其沖的以外,也是一個(gè)非常重要的安全漏洞。漏洞是跨站請(qǐng)求偽造,也有少數(shù)文章中稱其,其實(shí)指的是同一個(gè)東西。這個(gè)漏洞的原理要分兩層,狹義的和廣義的。這就是絕大多數(shù)博客,以及白帽子講安全一書中道哥所提到的漏洞的執(zhí)行方式。
對(duì)于web客戶端的攻擊,除了首當(dāng)其沖的XSS以外,CSRF也是一個(gè)非常重要的安全漏洞。
CSRF漏洞是跨站請(qǐng)求偽造,也有少數(shù)文章中稱其XSRF,其實(shí)指的是同一個(gè)東西。
這個(gè)漏洞的原理要分兩層,狹義的CSRF和廣義的CSRF。
狹義的CSRF是指在黑客已經(jīng)將代碼植入受害用戶的瀏覽器訪問的頁(yè)面的前提下,以“受害用戶”的身份向服務(wù)端發(fā)起一個(gè)偽造的http請(qǐng)求,從而實(shí)現(xiàn)服務(wù)器CURD來執(zhí)行讀寫操作。
這就是絕大多數(shù)博客,以及《白帽子講web安全》一書中道哥所提到的CSRF漏洞的執(zhí)行方式。
既然有狹義,也要說說廣義的CSRF。本質(zhì)上講,CSRF漏洞就是黑客將一個(gè)http接口中需要傳遞的所有參數(shù)都預(yù)測(cè)出來,然后不管以什么方式,他都可以根據(jù)他的目的來任意調(diào)用你的接口,對(duì)服務(wù)器實(shí)現(xiàn)CURD。
所以說,其實(shí)CSRF并不一定非要借助受害用戶的瀏覽器,黑客可以自己寫腳本偽造出一個(gè)和真實(shí)的http請(qǐng)求一模一樣的數(shù)據(jù)包發(fā)給你的服務(wù)器,前提是你的這個(gè)http接口中的所有參數(shù)都是可以預(yù)期的。
需要說明的是,對(duì)于廣義的CSRF,是我自己的理解,在這一點(diǎn)上可能與書本上所講的內(nèi)容存在一些出入。
狹義的CSRF的原理很簡(jiǎn)單,實(shí)現(xiàn)難度也不大,無非就是寫兩行javascript代碼的ajax調(diào)用一下服務(wù)端的rest接口。
但是實(shí)現(xiàn)CSRF的關(guān)鍵在于,要么先找到一個(gè)xss漏洞,然后將黑客的惡意代碼植入到頁(yè)面中去的前提下才可以實(shí)現(xiàn)狹義的CSRF;要么構(gòu)造出一個(gè)url,將參數(shù)設(shè)好,然后把url貼在網(wǎng)絡(luò)上像反射型XSS那樣騙用戶訪問這個(gè)url。
講到這里,其實(shí)不難發(fā)現(xiàn),CSRF和XSS這兩個(gè)漏洞一旦結(jié)合起來,將會(huì)爆發(fā)出巨大的威力。那么對(duì)于CSRF應(yīng)該如何防御?
查看原文
注:原創(chuàng)技術(shù)文章,為避免未經(jīng)許可的匿名轉(zhuǎn)載,全部文章內(nèi)容請(qǐng)移步原文閱讀,帶來的不便敬請(qǐng)諒解。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/90949.html
摘要:對(duì)于客戶端的攻擊,除了首當(dāng)其沖的以外,也是一個(gè)非常重要的安全漏洞。漏洞是跨站請(qǐng)求偽造,也有少數(shù)文章中稱其,其實(shí)指的是同一個(gè)東西。這個(gè)漏洞的原理要分兩層,狹義的和廣義的。這就是絕大多數(shù)博客,以及白帽子講安全一書中道哥所提到的漏洞的執(zhí)行方式。 對(duì)于web客戶端的攻擊,除了首當(dāng)其沖的XSS以外,CSRF也是一個(gè)非常重要的安全漏洞。CSRF漏洞是跨站請(qǐng)求偽造,也有少數(shù)文章中稱其XSRF,其實(shí)指...
摘要:面試網(wǎng)絡(luò)了解及網(wǎng)絡(luò)基礎(chǔ)對(duì)端傳輸詳解與攻防實(shí)戰(zhàn)本文從屬于筆者的信息安全實(shí)戰(zhàn)中滲透測(cè)試實(shí)戰(zhàn)系列文章。建議先閱讀下的網(wǎng)絡(luò)安全基礎(chǔ)。然而,該攻擊方式并不為大家所熟知,很多網(wǎng)站都有的安全漏洞。 面試 -- 網(wǎng)絡(luò) HTTP 現(xiàn)在面試門檻越來越高,很多開發(fā)者對(duì)于網(wǎng)絡(luò)知識(shí)這塊了解的不是很多,遇到這些面試題會(huì)手足無措。本篇文章知識(shí)主要集中在 HTTP 這塊。文中知識(shí)來自 《圖解 HTTP》與維基百科,若...
摘要:網(wǎng)絡(luò)黑白一書所抄襲的文章列表這本書實(shí)在是垃圾,一是因?yàn)樗幕ヂ?lián)網(wǎng)上的文章拼湊而成的,二是因?yàn)槠礈愃教睿B表述都一模一樣,還抄得前言不搭后語(yǔ),三是因?yàn)閮?nèi)容全都是大量的科普,不涉及技術(shù)也沒有干貨。 《網(wǎng)絡(luò)黑白》一書所抄襲的文章列表 這本書實(shí)在是垃圾,一是因?yàn)樗幕ヂ?lián)網(wǎng)上的文章拼湊而成的,二是因?yàn)槠礈愃教睿B表述都一模一樣,還抄得前言不搭后語(yǔ),三是因?yàn)閮?nèi)容全都是大量的科普,不涉及技術(shù)...
閱讀 2077·2021-11-16 11:45
閱讀 578·2021-11-04 16:12
閱讀 1379·2021-10-08 10:22
閱讀 858·2021-09-23 11:52
閱讀 4142·2021-09-22 15:47
閱讀 3521·2021-09-22 15:07
閱讀 492·2021-09-03 10:28
閱讀 1737·2021-09-02 15:21
