CSRF攻击和防御

CSRF攻击的原理?

当用户使用用户名和密码访问网站A,通过验证之后,网站A产生cookie信息返回给浏览器,之后在浏览器未关闭的情况下,用户就可以不需再次登录访问网站A了。

恶意网站就是钻了这个空子,诱导用户访问网站B

网站B收到请求后,返回一些恶意代码,要求访问网站A

浏览器由于存储了用户的cookie信息,会在用户不知情的情况下安装网站B的要求请求网站A。

而网站A并不知道请求时网站B发起的,就会根据用户的cookie信息处理请求,执行恶意代码

两个重点:

CSRF攻击是建立在浏览器和web服务器的会话之中

欺骗用户访问URL

CSRF的检测?

抓取一个正常请求的数据包,去掉其Referer字段再重新提交,如果提交依然有效,说明存在CSRF漏洞

posted @ 2020-04-21 19:15  ashen1999  阅读(103)  评论(0编辑  收藏  举报