概述
CSRF
- 原理
- 防御手段
- 利用
原理
利用目标用户的合法身份,以目标用户的名义执行某些非法操作。强制终端用户在当前对其进行身份认证后的web应用程序上执行非本意操作(伪造更改状态请求,利用社工诱骗用户执行hacker选择的操作)
防御手段
- 二次认证
- HTTP referer
- token
- HTTP自定义头
利用
无防御:POC(get)
Referer认证:
修改文件名绕过认证
token认证:
利用bp插件抓取token:
结合存储型xss弹出token:
CSRFTester自动化探测工具
原理:
使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞。
1.设置浏览器代理127.0.0.1:8008
最后
以上就是稳重刺猬为你收集整理的csrf 跨站请求伪造原理防御手段利用的全部内容,希望文章能够帮你解决csrf 跨站请求伪造原理防御手段利用所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复