什麼是CSRF攻擊?
CSRF,英文全稱是Cross-site request forgery,又稱為跨站請求偽造,是指駭客引誘使用者開啟駭客的網站,在駭客的網站中,利用使用者的登入狀態發起的跨站請求。那麼什麼是CSRF攻擊?其攻擊原理是什麼?以下是詳細內容介紹。
什麼是CSRF攻擊?
CSRF攻擊是透過強制使用者登入到攻擊者控制的賬戶來策劃的。為了達到這一目的,駭客使用他們的憑證向網站偽造一個狀態改變請求,並將表單提交到受害者的瀏覽器。伺服器對瀏覽器請求進行身份驗證,並將使用者登入到攻擊者的賬戶。當受害者向攻擊者的賬戶提交正在登入的敏感資訊時,攻擊者可以利用這些資訊執行一些不必要的操作,包括身份盜竊。
CSRF攻擊的攻擊原理是什麼?
CSRF攻擊一般的攻擊原理是,攻擊者向目標網站注入一個惡意的CSRF攻擊URL地址,當使用者訪問某特定網頁時,如果使用者點選了該URL,那麼攻擊就觸發了,我們可以在該惡意的URL對應的網頁中,利用來向目標網站發生一個get請求,該請求會攜帶cookie資訊,所以也就借用了使用者的身份,也就是偽造了一個請求,該請求可以是目標網站中的使用者有許可權訪問的任意請求。也可以使用JavaScript構造一個提交表單的post請求。比如構造一個轉賬的POST請求。
所以CSRF的攻擊分為了兩步,首先要注入惡意URL地址,然後在該地址中寫入攻擊程式碼,利用等標籤或者使用JavaScript指令碼。
如何防禦CSRF攻擊?
1、儘量使用post,限制get
2、瀏覽器cookie策略
3、加驗證碼,強制使用者必須與應用進行互動,才能完成最終請求
4、Referer Check
5、Anti CSRF Token
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70014415/viewspace-2937017/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 什麼是CSRF攻擊?如何防禦CSRF攻擊?
- CSRF攻擊是什麼並且如何防止
- CSRF攻擊是什麼?防範手段有哪些?
- XSS攻擊和CSRF攻擊有什麼區別?
- XSS 與 CSRF 攻擊——有什麼區別?
- CSRF攻擊
- CSRF 攻擊
- 什麼是DOS攻擊?DOS攻擊常見形式是什麼?
- 【網路安全入門】CSRF攻擊是什麼?它的危害有哪些?
- 什麼是DDoS攻擊?DDOS攻擊的表現形式是什麼?
- 什麼是APT攻擊?APT攻擊有什麼主要特徵?APT特徵
- 什麼是 DoS 攻擊?
- 什麼是DDOS攻擊?
- DDoS攻擊是什麼?是如何進行攻擊的?
- 什麼是DDoS攻擊?與CC攻擊有什麼聯絡?
- 什麼是CC攻擊?與DDoS攻擊有什麼區別?
- csrf攻擊例項
- XXE攻擊攻擊原理是什麼?如何防禦XXE攻擊?
- 什麼是SSRF攻擊?SSRF用途是什麼?
- 什麼是Syn Flood攻擊?Syn Flood洪水攻擊應對方法是什麼?
- 什麼是SQL隱碼攻擊、XSS以及CSRF?【網路安全知識培訓】SQL
- 什麼是重放攻擊與中間人攻擊?
- 什麼是SSRF攻擊?如何防禦SSRF攻擊?
- 什麼是XSS攻擊?其攻擊原理有哪些?
- 什麼是DDoS攻擊?如何防範DDoS攻擊?
- csrf攻擊與防範
- CSRF 攻擊與防禦
- CSRF 攻擊深入淺出
- CSRF攻擊與防禦
- XXE攻擊是什麼?如何有效防禦XXE攻擊?
- DDoS攻擊是什麼?其攻擊現象有哪些?
- DDoS攻擊與CC攻擊的區別是什麼?
- 什麼是CC攻擊?網站被CC攻擊怎麼辦?網站
- CC攻擊的原理是什麼?如何防禦CC攻擊?
- DDoS攻擊的危害是什麼?如何防禦DDoS攻擊?
- 零日攻擊是什麼?如何防範零日攻擊?
- 【安全篇】APT攻擊是什麼?APT攻擊有哪些危害?APT
- CSRF攻擊與Django防範Django