xgqfrms™, xgqfrms® : xgqfrms's offical website of cnblogs! xgqfrms™, xgqfrms® : xgqfrms's offical website of GitHub!

Web 安全问题验证:如何使用 CSRF 窃取 token/cookie All In One

Web 安全问题验证:如何使用 CSRF 窃取 token/cookie All In One

关于 CRSF 攻击和预防

CSRF / XSRF

https://en.wikipedia.org/wiki/Cross-site_request_forgery

https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html

https://infosec.mozilla.org/guidelines/web_security#csrf-prevention

https://owasp.org/www-community/attacks/csrf

https://portswigger.net/web-security/csrf

https://stackoverflow.com/questions/5207160/what-is-a-csrf-token-what-is-its-importance-and-how-does-it-work

CSRF 危害

CSRF 攻击方式

CSRF 防护策略

阻止不明外域的访问
同源检测
SameSite cookies
提交时要求附加本域才能获取的信息
CSRF Token
双重 Cookie 验证
短信验证码
邮箱验证码
Multi-Factor Authentication (MFA)
Two-Factor Authentication (2FA)

X-Frame-Options

https://www.davidairey.com/google-gmail-security-hijack/

https://www.anquanke.com/post/id/161724

demos

Gmail & CSRF

image

(🐞 反爬虫测试!打击盗版⚠️)如果你看到这个信息, 说明这是一篇剽窃的文章,请访问 https://www.cnblogs.com/xgqfrms/ 查看原创文章!

refs

©xgqfrms 2012-2020

www.cnblogs.com/xgqfrms 发布文章使用:只允许注册用户才可以访问!

原创文章,版权所有©️xgqfrms, 禁止转载 🈲️,侵权必究⚠️!

posted @ 2022-12-23 23:39  xgqfrms  阅读(200)  评论(1编辑  收藏  举报