什么叫CSRF攻擊
聽風(fēng)者
發(fā)布于 廣東 2018-05-29 · 3.0w瀏覽 3回復(fù) 16贊

??????? 之前我給同事們講解什么叫XSS跨站以及跨站攻擊的過程、危害和防御,然后有個(gè)別同事又問我什么是CSRF攻擊,以及CSRF攻擊與XSS攻擊的相同點(diǎn)和不同點(diǎn)。現(xiàn)在我就用一些例子來把它講通。


??????? 相同點(diǎn):

??????? 1、都是非授權(quán)攻擊,都是通過非法手段獲得操作權(quán)限的;

??????? 2、都存在隨機(jī)性,不是每次攻擊都能成功。


????? 不同點(diǎn):

??????? XSS攻擊主要通過盜取高權(quán)限的Cookie、會(huì)話劫持、遠(yuǎn)程病毒注入等攻擊手段來完成攻擊;

??????? 而CSRF主要的攻擊方式則是利用釣魚來進(jìn)行攻擊的。


??????? CSRF漏洞的形成主要是在進(jìn)行某些敏感性操作時(shí)沒有進(jìn)行身份驗(yàn)證或者再次確認(rèn)造成的。比如:如果是你要?jiǎng)h除一篇文章,在點(diǎn)擊的刪除按鈕后正確的方法是需要彈出一個(gè)提示對話框,是否確認(rèn)刪除,當(dāng)點(diǎn)擊確認(rèn)后才能對該文章進(jìn)行刪除;

??????? 又比如,進(jìn)行后臺登錄操作時(shí),正確、安全的做法是除了要求輸入賬號、密碼以外,還必須要求輸入驗(yàn)證碼,以此來防御機(jī)器人后臺暴力破解。

???????? 假如某一天管理員正好登錄了后臺,且會(huì)話未過期,壞小子黑客小明看到以后發(fā)送來一個(gè)鏈接,請管理員點(diǎn)開看看(釣魚),而該鏈接的功能正是刪除某一篇稿件,由于管理員正好登錄了后臺,好,那篇稿件是不是正好就被干掉了?!

???????? 是的!

??????? 究其原因就是在刪除之前沒有一個(gè)再確認(rèn)過程!

??????? 前幾年的315晚會(huì)前的大部分黑客刪帖就是這樣干的,無恥至極!


??????? 后臺登錄需要輸入驗(yàn)證碼也是一個(gè)再確認(rèn)過程,確認(rèn)你是自然人,不是暴力攻擊的機(jī)器人!

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
聽風(fēng)者
地痞流氓有文化!
瀏覽 3.0w
16
相關(guān)推薦
最新評論 3
贊過的人 16
評論加載中...

暫無評論,快來評論吧!