CSRF 攻击
2022-03-25 本文已影响0人
申_9a33
概述
- 名称: Cross Site Request Forgery(跨站请求伪造)
- 含义:伪装来自受信任用户的请求来利用受信任的网站
CSRF攻击满足步骤
- 1.登录受信任的网站A,并在本地生成Cookie.
- 2.在不退出网站A的情况下,访问网站B
攻击类型
1.GET型CSRF
<img src=http://xxx.com/csrf?xx=11 />
- 在访问带有这个img的站点后就会发出一次请求。就能完成一次CSRF功能
2.POST型CSRF
<form action=http://wooyun.org/csrf.php method=POST>
<input type="text" name="xx" value="11" />
</form>
<script> document.forms[0].submit(); </script>
- 页面加载后,表单自动提交,相当于完成了一次POST请求
防御手段
- 验证 HTTP Referer
- 尽量使用POST
- 加入验证码
- Anti CSRF Token
