8.1 跨站請求偽造(CSRF)攻擊基本原理_第1頁
8.1 跨站請求偽造(CSRF)攻擊基本原理_第2頁
8.1 跨站請求偽造(CSRF)攻擊基本原理_第3頁
8.1 跨站請求偽造(CSRF)攻擊基本原理_第4頁
8.1 跨站請求偽造(CSRF)攻擊基本原理_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

跨站請求偽造(CSRF)攻擊基本原理Web滲透與防護(hù)WebPenetrationTesting&Protection引入目錄2CSRF攻擊的基本定義13CSRF與XSS的對比分析4CSRF攻擊的工作原理CSRF漏洞分析CSRF攻擊的基本定義CSRF(CrossSiteRequestForgery,跨站請求偽造)沉睡中的巨人跨站請求請求偽造請求是跨不同站點(diǎn)的OneClickAttack惡意鏈接的請求網(wǎng)址會(huì)植入到正常的網(wǎng)頁、郵件中,吸引用戶去點(diǎn)擊向合法服務(wù)器發(fā)送的請求來自于第三方站點(diǎn)合法用戶點(diǎn)擊惡意鏈接請求由他人惡意偽造服務(wù)器端無法區(qū)分正常的請求是否真的來自于合法用戶本人的,進(jìn)行正常響應(yīng)用戶的請求不是來自合法用戶本人,而是他人惡意偽造服務(wù)器端無法區(qū)分請求來源的非法性Cookie機(jī)制CSRF攻擊的工作原理永久Cookie臨時(shí)Cookie臨時(shí)有效生命周期為瀏覽器會(huì)話期間保存在計(jì)算機(jī)的內(nèi)存有效期內(nèi)皆有效生命周期為Cookie有效期保存在計(jì)算機(jī)的硬盤本地CookieSessionCookieCSRF攻擊基于瀏覽器的Cookie機(jī)制實(shí)現(xiàn):瀏覽并嘗試登錄網(wǎng)站A網(wǎng)站A的Web服務(wù)器驗(yàn)證用戶身份后在用戶的瀏覽器中生成Cookie用戶的瀏覽器不關(guān)閉時(shí)Cookie是有效的,用戶被誘惑訪問網(wǎng)站BCSRF攻擊的工作原理網(wǎng)站B的Web服務(wù)器響應(yīng)用戶請求,返回網(wǎng)站B的頁面,而網(wǎng)站B要求用戶去訪問網(wǎng)站A網(wǎng)站B基于瀏覽器中Cookie數(shù)據(jù)保存的用戶身份去訪問網(wǎng)站A,網(wǎng)站A的Web服務(wù)器并不能區(qū)分這個(gè)請求是來自于合法用戶的,都予以正常響應(yīng)CSRF與XSS的對比分析CSRFXSS偽造合法用戶的身份向合法網(wǎng)站發(fā)出請求,誘導(dǎo)受害者訪問后發(fā)生由于對用戶的輸入/輸出檢驗(yàn)不嚴(yán)格,攻擊者注入JavaScript代碼而進(jìn)行攻擊對象:網(wǎng)站對象:網(wǎng)站的用戶攻擊者偽造用戶請求攻擊者注入JS代碼后執(zhí)行CSRF漏洞分析漏洞測試構(gòu)造惡意Web頁面執(zhí)行惡意操作

根據(jù)頁面回顯的信息,判斷是否存在CSRF漏洞

構(gòu)造惡意Web頁面,引誘合法用戶點(diǎn)擊訪問

使用用戶的合法身份,

執(zhí)行惡意網(wǎng)頁中的非

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論