zoukankan      html  css  js  c++  java
  • 初探csrf学习笔记

    • 以下是学习了对CSRF的理解,大家切勿作为标准,如有出错请告之!
    • 严禁转载.不想拿自己刚学到的知识去【误人子弟】之所以写出来是让自己巩固和增加理解,他日对此文有不当之处自会修改。

    [00x1]csrf是什么?
          [-]CSRF全称叫做cross-site request forgety 中文名叫做跨站请求伪造。
    [00x2]我怎么理解CSRF?
          [-]CSRF原理其实与XSS原理十分相似,xss通过构造恶意的js语句来获取COOKIE,而CSRF则是通过用户的COOKIE来执行伪造好的表单。

    [00x3]真实CSRF案例。[会补]

    • 存在漏洞网站:123.com
    • 测试源码程序:XYcms
    • 在其后台的添加管理员界面存在csrf漏洞,构造好POC(即伪造好表单)放到另外的一个web上,让网站的管理员打开。(可以诱骗管理员点击,如此就达到了一次CSRF攻击)
    • 技巧:
      • 欺骗打开的时候可以使用生成短域名
      • 使用js调用伪造好的表单,否则被提示添加管理员成功,此类的话。

    [00x4]如何防御CSRF漏洞?
        [-]验证referer
        [-]验证token

     参考文章:

    1. http://www.freebuf.com/articles/web/55965.html
    2. http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
  • 相关阅读:
    Web Api 模型绑定 二
    C#关键字
    ASP.NET Core MVC 过滤器
    EF性能优化篇一
    Linq
    HTTP协议
    Linux进程管理(11)
    Linux网络配置(10)
    Django模板修炼
    递归
  • 原文地址:https://www.cnblogs.com/xishaonian/p/6478926.html
Copyright © 2011-2022 走看看