2020—12—25—CSRF漏洞

CSRF跨站请求伪造
挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
最大的区别就是CSRF没有盗取用户的cookie,而是直接的利用了浏览器存储的cookie让用户去执行某个动作
危害:更新账号细节,完成购物,注销甚至登录 获取用户的隐私数据
配合其他漏洞攻击 CSRF 蠕虫
分类:GET型和POST型
CSRF漏洞挖掘方法:密码修改处 点赞 转帐 注销 删除
CSRF漏洞修复方法:
1、校验referer来源
2、添加随机token
3、身份确认机制

上一篇:CSRF漏洞


下一篇:SpringSecurity学习记录4