真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

成都創(chuàng)新互聯(lián)網(wǎng)站制作重慶分公司

CSRF是什么

這篇文章主要講解了“CSRF是什么”,文中的講解內(nèi)容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“CSRF是什么”吧!

10余年的淶源網(wǎng)站建設經(jīng)驗,針對設計、前端、開發(fā)、售后、文案、推廣等六對一服務,響應快,48小時及時工作處理。營銷型網(wǎng)站建設的優(yōu)勢是能夠根據(jù)用戶設備顯示端的尺寸不同,自動調(diào)整淶源建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調(diào)整網(wǎng)站的寬度,無論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設計,從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)公司從事“淶源網(wǎng)站設計”,“淶源網(wǎng)站推廣”以來,每個客戶項目都認真落實執(zhí)行。

一、CSRF是什么?

剛剛已經(jīng)說了,全稱叫做夸張請求偽造,很明顯就是和安全有關的一個知識點,意思是攻擊者通過偽造用戶的瀏覽器的請求,向訪問一個用戶自己曾經(jīng)認證訪問過的網(wǎng)站發(fā)送出去,使目標網(wǎng)站接收并誤以為是用戶的真實操作而去執(zhí)行命令。

舉個例子來解釋,你去某網(wǎng)買東西,輸入了用戶名密碼,攻擊者在另外一個頁面重新使用了你的用戶名密碼。比如發(fā)送郵件,發(fā)消息,盜取你的賬號,甚至于購買商品,虛擬貨幣轉賬。

所以說危害那是相當嚴重,我們使用一張圖來表示一下這個過程吧。

CSRF是什么

至于能不能經(jīng)得起誘惑,就看個人了。有時候我們點擊了某一個鏈接但是沒有執(zhí)行任何操作,銀行卡的錢卻不見了,你知道這是為什么嗎?我們可以模擬一下這個過程。

二、你的錢為什么會不見了

其實這個步驟和剛剛那個圖是一樣的?,F(xiàn)在有張三和李四進行轉賬。

1、張三給李四100塊,執(zhí)行的操作是:

xxx/transfer.php?from=張三&money=100&to=李四

注意此時的張三沒有把頁面關閉掉。這里的前綴我沒有寫,因為文章審核通過不了。

2、黑客想把錢轉給自己,執(zhí)行的操作是:

xxx/transfer.php?from=張三&money=100&to=黑客

很明顯會失敗,這是因為張三在登錄系統(tǒng)的時候會通過cookie,把自己的session傳遞給后臺服務器。此時系統(tǒng)檢查當前的session中的身份,發(fā)現(xiàn)不正確就拒絕了。

3、黑客繼續(xù)想辦法,使用不良網(wǎng)站誘導:

網(wǎng)站的連接很有顏色感,讓張三欲罷不能,于是點擊了誘導鏈接A。此時返回給黑客的信息就是:

 1
2    
3          
4               
5              
6               
7            
8        
9    
10
 

如果此時張三剛剛給李四轉完錢,并且頁面還沒關閉,就點擊了這個鏈接,那么就會執(zhí)行上面的操作。這是因為此時的黑客身份就是張三的信息,銀行不知道因為是張三,于是接受了請求。

三、如何防范

1、驗證碼

這個道理很簡單,也是目前使用最廣泛的一種方式。驗證碼則強制用戶必須與應用進行交互,才能完成最終請求。但該方式用戶體驗較差;

2、Referer Check防盜鏈

可以檢測請求是否來自合法的源,如果請求不是來自合法源,則很可能發(fā)生了CSRF攻擊,但服務器并不能在任何時候都能獲取到Referer;

3、Token

使用動態(tài)的Token。使用真隨機數(shù)或者經(jīng)過密鑰加密的字符串作為token值,使用方式可參考重放攻擊防御中的token,該防御方式需要注意token的完全隨機和有效期,一個經(jīng)常無規(guī)則變動的token值往往是無法破解的。

感謝各位的閱讀,以上就是“CSRF是什么”的內(nèi)容了,經(jīng)過本文的學習后,相信大家對CSRF是什么這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是創(chuàng)新互聯(lián),小編將為大家推送更多相關知識點的文章,歡迎關注!


本文標題:CSRF是什么
URL網(wǎng)址:http://weahome.cn/article/pocghs.html

其他資訊

在線咨詢

微信咨詢

電話咨詢

028-86922220(工作日)

18980820575(7×24)

提交需求

返回頂部