CSRF：跨站請求偽造

• CSRF與XSS的區別
• 原理
• 特點
• 漏洞利用條件
• 自動掃描程序的檢測方法
• 例

CSRF與XSS的區別

1.XSS：利用用戶對站點的信任
2. CSRF：利用站點對已經身份認證的信任

原理

特點

漏洞利用條件

防護：

二次認證，確認機制(驗證碼)

Captcha（驗證碼）

anti-CSRF token（生成隨機值拼接到url上）

Referrer頭

降低會話超時時間

自動掃描程序的檢測方法

例

GET方法

隨意提交，burpsuit截斷

復制url，構造偽造鏈接

將鏈接發送給用戶，誘使點擊

密碼修改成功

hacker等待一段時間后嘗試用新密碼登錄

POST方法

burp截包，生成CSRF PoC(專業版)

/var/www/html下新建一個csrf_post.html,將生成的CSRF PoC復制進去。

訪問csrf_post.html，點擊按鈕，密碼修改成功。

總結

以上是生活随笔為你收集整理的CSRF：跨站请求伪造的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。