CSRF跨站请求伪造
2021-12-09 00:08:38 35 举报
AI智能生成
csrf
作者其他创作
大纲/内容
简介
CSRF原理
程序员开发的时候,未对相关页面进行token和REFERER判断,造成攻击者可构造自己的URL地址欺骗目标用户进行点击攻击
检测工具
burp
CSRFTester
CSRF攻击分类
站内
CSRF站内类型的漏洞在一定程度上是由于程序员滥用$_REQUEST类变量造成的。
站外
CSRF站外类型的漏洞本质上就是传统意义上的外部提交数据问题,没有对客户端的操作做限制
CSRF重点攻击
1:CSRF的攻击建立在浏览器与Web服务器的会话之中
2 :欺骗用户访问URL
如何挖掘CSRF漏洞(CSRF一般与XSS结合使用)
扫描器 (验证referer)
需要手动验证
修改密码的地方
添加用户的地方
数据库备份的地方
数据交易、支付等
等其它一些对话框钓鱼页面
攻击流程
自解压缩包
dz数据库备份
修改密码、添加帐号
命令执行
造成危害
数据库信息泄露
盗取用户数据
本地网络设备攻击
子主题
防御方法
矫验referer字段
添加token值
白名单
增加验证码 、原始密码
0 条评论
下一页