什么叫CSRF攻擊
聽風者
發(fā)布于 廣東 2018-05-29 · 3.0w瀏覽 3回復 16贊

??????? 之前我給同事們講解什么叫XSS跨站以及跨站攻擊的過程、危害和防御,然后有個別同事又問我什么是CSRF攻擊,以及CSRF攻擊與XSS攻擊的相同點和不同點?,F(xiàn)在我就用一些例子來把它講通。


??????? 相同點:

??????? 1、都是非授權(quán)攻擊,都是通過非法手段獲得操作權(quán)限的;

??????? 2、都存在隨機性,不是每次攻擊都能成功。


????? 不同點:

??????? XSS攻擊主要通過盜取高權(quán)限的Cookie、會話劫持、遠程病毒注入等攻擊手段來完成攻擊;

??????? 而CSRF主要的攻擊方式則是利用釣魚來進行攻擊的。


??????? CSRF漏洞的形成主要是在進行某些敏感性操作時沒有進行身份驗證或者再次確認造成的。比如:如果是你要刪除一篇文章,在點擊的刪除按鈕后正確的方法是需要彈出一個提示對話框,是否確認刪除,當點擊確認后才能對該文章進行刪除;

??????? 又比如,進行后臺登錄操作時,正確、安全的做法是除了要求輸入賬號、密碼以外,還必須要求輸入驗證碼,以此來防御機器人后臺暴力破解。

???????? 假如某一天管理員正好登錄了后臺,且會話未過期,壞小子黑客小明看到以后發(fā)送來一個鏈接,請管理員點開看看(釣魚),而該鏈接的功能正是刪除某一篇稿件,由于管理員正好登錄了后臺,好,那篇稿件是不是正好就被干掉了?!

???????? 是的!

??????? 究其原因就是在刪除之前沒有一個再確認過程!

??????? 前幾年的315晚會前的大部分黑客刪帖就是這樣干的,無恥至極!


??????? 后臺登錄需要輸入驗證碼也是一個再確認過程,確認你是自然人,不是暴力攻擊的機器人!

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
聽風者
地痞流氓有文化!
瀏覽 3.0w
16
相關(guān)推薦
最新評論 3
贊過的人 16
評論加載中...

暫無評論,快來評論吧!