華為云計(jì)算 云知識(shí) 跨站請(qǐng)求偽造
跨站請(qǐng)求偽造
時(shí)間: 2020-11-16 14:43:07
猜你想看:
實(shí)時(shí)語(yǔ)音識(shí)別 云服務(wù)器配置 CDN是什么意思 視頻點(diǎn)播加速 什么是云桌面

跨站請(qǐng)求偽造(Cross-site request forgery,CSRF)攻擊是一種常見(jiàn)的WEB攻擊手法。攻擊者通過(guò)偽造非受害者意愿的請(qǐng)求數(shù)據(jù),誘導(dǎo)受害者訪問(wèn),如果受害者瀏覽器保持目標(biāo)站點(diǎn)的認(rèn)證會(huì)話,則受害者在訪問(wèn)攻擊者構(gòu)造的頁(yè)面或URL的同時(shí),攜帶自己的認(rèn)證身份向目標(biāo)站點(diǎn)發(fā)起了攻擊者偽造的請(qǐng)求。

簡(jiǎn)單地說(shuō),跨站請(qǐng)求攻擊就是攻擊者通過(guò)某些技術(shù)手段欺騙用戶(hù)的瀏覽器來(lái)訪問(wèn)自己曾經(jīng)認(rèn)證過(guò)的網(wǎng)站,并執(zhí)行某些操作(例如發(fā)送郵件、發(fā)送消息,甚至進(jìn)行諸如轉(zhuǎn)賬和購(gòu)物等財(cái)產(chǎn)操作)。因?yàn)闉g覽器已經(jīng)通過(guò)了認(rèn)證,所以被訪問(wèn)的網(wǎng)站會(huì)認(rèn)為是真正的用戶(hù)在運(yùn)行。這樣就利用了web中用戶(hù)認(rèn)證的一個(gè)漏洞:簡(jiǎn)單的認(rèn)證只能保證請(qǐng)求是從特定用戶(hù)的瀏覽器發(fā)出的,而不能保證請(qǐng)求本身是用戶(hù)自愿發(fā)出的。

跨站請(qǐng)求偽造

意見(jiàn)反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會(huì)繼續(xù)努力做到更好 反饋提交失??!請(qǐng)稍后重試!