CSRF跨站请求伪造
挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
最大的区别就是CSRF没有盗取用户的cookie,而是直接的利用了浏览器存储的cookie让用户去执行某个动作
危害:更新账号细节,完成购物,注销甚至登录 获取用户的隐私数据
配合其他漏洞攻击 CSRF 蠕虫
分类:GET型和POST型
CSRF漏洞挖掘方法:密码修改处 点赞 转帐 注销 删除
CSRF漏洞修复方法:
1、校验referer来源
2、添加随机token
3、身份确认机制
相关文章
- 01-042020-12-25
- 01-042020-12-25
- 01-042020—12—25—CSRF漏洞
- 01-04(2020上半年第22天(其他漏洞--CSRF+SSRF))小迪网络安全笔记
- 01-042020/12/25
- 01-042020-12-25今日份力扣==455. 分发饼干