跨站请求伪造:什么是 CSRF?
CSRF 是 Web 应用程序漏洞之一,代表“跨站请求伪造”。利用网络系统强制用户发出非预期请求的网络攻击是一种
顺便说一句,它似乎被读作“海浪”。
CSRF 的工作原理
0:攻击者创建陷阱网站。
1:用户登录到目标服务(使用cookies等保存会话ID)
2:巧妙地将已经登录目标服务的用户引诱到陷阱站点。 (电子邮件、URL 点击等)
3:使用用户持有的会话ID发送一个非预期的请求
4:攻击对象Web服务根据会话ID判断请求来自合法用户并执行。
访问过陷阱站点的用户是目标 Web 服务(SNS 等)登录状态如果是虚假请求被抛出到 Web 服务并执行这就是它的工作原理。
许多需要登录的 Web 服务使用 cookie 来提供自动登录功能以省略登录过程。登录后,可以自动登录一段时间因此,CSFR攻击的条件得到满足。
CSRF 造成的实际损害示例
作为一个实际案例“滨町事件”或者“横滨CSRF事件”等很有名。
“滨町事件”
某天突然上各大SNS“mixi”“我是滨町酱!!”看来,这样的内容的写作,是在同一天发布在了很多用户的日记中的。
该帖子附加了一个 URL,通过单击该 URL,用户将发布相同的帖子。当许多用户在连锁反应中发布相同的帖子时,它似乎成为了一个热门话题。 .
“横滨CSRF事件”
男子A点击了犯人准备的陷阱网站,在横滨一所小学主页的发帖部分发布了一篇帖子,称“我们将袭击横滨的一所小学并屠杀自动机”。
在这次事件中未经许可点击并发布在另一个网站的公告板上的 URL 的机制因此,似乎有一些损害,例如写它的人A,而不是真正的罪犯,被错误地逮捕了。
为什么 CSRF 难以预防
CSRF 的特点是合法用户打开陷阱站点时建立的网络攻击。
从攻击目标 Web 服务的角度来看,合法用户使用合法会话 ID请求执行合法功能因为是抛出来的,所以防不胜防,似乎也难对付。
防止 CSRF
用户端
1. 网页服务后登出
CSRF 基本上针对用户登录到 Web 服务的状态。
您可以通过尽可能多的注销来防止这种情况发生。
2. 不要访问可疑网站
基本规则是尽可能避免访问不可靠的网站。
成人网站看起来很危险,所以如果您是男性,请小心。
Web服务端
1.重要操作前重新输入密码
2.检查请求的来源
指示从哪个网站发出 HTTP 请求“推荐人”您可以获取信息称为
3.使用一次性代币
1.为每个表单提交页面生成一个随机字符串,并将生成的token嵌入到html中进行提交。
2、接收请求时,编写一个程序,如果没有token或者token不匹配,则不接受请求。
4. 回答谜题、字母数字字符和图像
我经常看到这种情况,但这也是一种 CSRF 对策。
最后
这次查了CSRF,基本上,从用户的角度来看是很难防止的我想。
如果运营 Web 服务或网站的一方采取适当的措施,似乎可以防止大多数情况。
如果有一天我有机会接触到网络,我想多调查一下并采取适当的措施! !
我没有计划。 w
再见! !
原创声明:本文系作者授权爱码网发表,未经许可,不得转载;
原文地址:https://www.likecs.com/show-308623624.html