5.CSRF漏洞

跨站請求偽造: (CSRF,全稱Cross-site request forgery),是指利用受害者尚未失效的身份認(rèn)證信息(cookie、會話等),誘騙其點(diǎn)擊惡意鏈接或者訪問包含攻擊代碼的頁面,在受害人不知情的情況下以受害者的身份向(身份認(rèn)證信息所對應(yīng)的)服務(wù)器發(fā)送請求,從而完成非法操作(如轉(zhuǎn)賬、改密等)。

1.GET型

  • 構(gòu)造帶有POC的網(wǎng)頁:password_new=pwd&password_conf=pwd&Change=Change#
    POC:Proof Of Concept的縮寫。在黑客圈指:觀點(diǎn)驗(yàn)證程序。運(yùn)行這個程序就可以得出預(yù)期的結(jié)果,也就驗(yàn)證了觀點(diǎn)。

2.POST型

  • 如果網(wǎng)站有添加管理員功能
  • 客戶訪問帶有POC的頁面則添加了管理員賬號

3.偽造方法

  • 使用短鏈接來隱藏URL
  • 構(gòu)造有誘惑性的攻擊頁面
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • HTTP.sys遠(yuǎn)程代碼執(zhí)行 測試類型:基礎(chǔ)結(jié)構(gòu)測試 威脅分類:操作系統(tǒng)命令 原因:未安裝第三方產(chǎn)品的最新補(bǔ)丁或最...
    天天向上的小M閱讀 4,159評論 0 0
  • 一套實(shí)用的滲透測試崗位面試題,你會嗎? 1.拿到一個待檢測的站,你覺得應(yīng)該先做什么? 收集信息 whois、網(wǎng)站源...
    g0閱讀 5,165評論 0 9
  • 跨站請求偽造也被成為單擊攻擊或者會話疊置,簡稱CSRF或者XSRF。是一種惡意利用從網(wǎng)站信任用戶獲取未授權(quán)命令的行...
    留七七閱讀 13,922評論 2 21
  • 急匆匆 補(bǔ)了幾天的文章 故事還在繼續(xù) 但可能不會再寫了 想說的太多 能寫出來的太少 只求 她懂得就好
    隱形我閱讀 174評論 0 0
  • 我,蘇沫,出生在一個還算可以的家庭,我爸是Z國最著名的懸疑,推理,玄幻小說家;嗯。。。我媽呢是一名博士生,現(xiàn)任M大...
    汣夏熙閱讀 242評論 0 0

友情鏈接更多精彩內(nèi)容