CSRF跨站请求伪造
2021-12-09 00:08:38 34 举报
AI智能生成
登录查看完整内容
csrf
作者其他创作
大纲/内容
程序员开发的时候,未对相关页面进行token和REFERER判断,造成攻击者可构造自己的URL地址欺骗目标用户进行点击攻击
CSRF原理
burp
CSRFTester
检测工具
CSRF站内类型的漏洞在一定程度上是由于程序员滥用$_REQUEST类变量造成的。
站内
CSRF站外类型的漏洞本质上就是传统意义上的外部提交数据问题,没有对客户端的操作做限制
站外
CSRF攻击分类
1:CSRF的攻击建立在浏览器与Web服务器的会话之中
2 :欺骗用户访问URL
CSRF重点攻击
简介
需要手动验证
扫描器 (验证referer)
修改密码的地方
添加用户的地方
数据库备份的地方
数据交易、支付等
等其它一些对话框钓鱼页面
如何挖掘CSRF漏洞(CSRF一般与XSS结合使用)
自解压缩包
dz数据库备份
修改密码、添加帐号
命令执行
攻击流程
数据库信息泄露
盗取用户数据
本地网络设备攻击
子主题
造成危害
矫验referer字段
添加token值
白名单
增加验证码 、原始密码
防御方法
CSRF跨站请求伪造
0 条评论
回复 删除
下一页