• 欢迎访问本站网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏吧

跨站请求伪造csrf漏洞原理及其利用

网络安全 admin 6个月前 (10-18) 119次浏览 已收录 0个评论 扫描二维码
跨站请求伪造CSRF(Cross-Site Request Forgery),经常出现在owasp web漏洞排行榜中,与xss,sql注入等相同,csrf相当于来说关注度要小很多。
常见的利用:

  • 购物网站转账操作
  • 增加管理员
  • 修改个人信息
  • 添加getshell/脱库

CSRF攻击攻击原理及过程如下:
C:用户  A:已经登录的一个站点存在csrf漏洞  B:存在恶意代码的网站

  • 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
  • 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
  • 3. 用户未退出网站A之前,在同一浏览器中,打开一个网页访问网站B;
  • 4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
  • 5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

poc生成使用burp suite

跨站请求伪造csrf漏洞原理及其利用
解决办法:

  • 利用http watch监控访问页面的程序防止出现cookie被截取。
  • 对于网站来说,可以设置把授权改为瞬时授权(在每一个form中提供隐藏的field)等。

声明:
切勿使用在本网站学习的方法攻击其他计算机,保护网络安全,人人有责,做一个维护网络安全的人。
该网站编写此类文章的目标是为了让渗透测试爱好者在学习过程中更好的掌握技巧和方法同时也让广大网民了解黑客是如何对互联网进行攻击的从而更好的保护网络财产安全,如果使用在本站学习的方法和技巧攻击其他计算机的造成的后果自负,与本站无关,学技术不是为了搞破坏,或者为了更好的去保护我们祖国的网络安全!


本站的文章和资源来自互联网或者站长的原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:跨站请求伪造csrf漏洞原理及其利用
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址