版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
跨站請求偽造(CSRF)攻擊基本原理Web滲透與防護(hù)WebPenetrationTesting&Protection引入目錄2CSRF攻擊的基本定義13CSRF與XSS的對比分析4CSRF攻擊的工作原理CSRF漏洞分析CSRF攻擊的基本定義CSRF(CrossSiteRequestForgery,跨站請求偽造)沉睡中的巨人跨站請求請求偽造請求是跨不同站點(diǎn)的OneClickAttack惡意鏈接的請求網(wǎng)址會(huì)植入到正常的網(wǎng)頁、郵件中,吸引用戶去點(diǎn)擊向合法服務(wù)器發(fā)送的請求來自于第三方站點(diǎn)合法用戶點(diǎn)擊惡意鏈接請求由他人惡意偽造服務(wù)器端無法區(qū)分正常的請求是否真的來自于合法用戶本人的,進(jìn)行正常響應(yīng)用戶的請求不是來自合法用戶本人,而是他人惡意偽造服務(wù)器端無法區(qū)分請求來源的非法性Cookie機(jī)制CSRF攻擊的工作原理永久Cookie臨時(shí)Cookie臨時(shí)有效生命周期為瀏覽器會(huì)話期間保存在計(jì)算機(jī)的內(nèi)存有效期內(nèi)皆有效生命周期為Cookie有效期保存在計(jì)算機(jī)的硬盤本地CookieSessionCookieCSRF攻擊基于瀏覽器的Cookie機(jī)制實(shí)現(xiàn):瀏覽并嘗試登錄網(wǎng)站A網(wǎng)站A的Web服務(wù)器驗(yàn)證用戶身份后在用戶的瀏覽器中生成Cookie用戶的瀏覽器不關(guān)閉時(shí)Cookie是有效的,用戶被誘惑訪問網(wǎng)站BCSRF攻擊的工作原理網(wǎng)站B的Web服務(wù)器響應(yīng)用戶請求,返回網(wǎng)站B的頁面,而網(wǎng)站B要求用戶去訪問網(wǎng)站A網(wǎng)站B基于瀏覽器中Cookie數(shù)據(jù)保存的用戶身份去訪問網(wǎng)站A,網(wǎng)站A的Web服務(wù)器并不能區(qū)分這個(gè)請求是來自于合法用戶的,都予以正常響應(yīng)CSRF與XSS的對比分析CSRFXSS偽造合法用戶的身份向合法網(wǎng)站發(fā)出請求,誘導(dǎo)受害者訪問后發(fā)生由于對用戶的輸入/輸出檢驗(yàn)不嚴(yán)格,攻擊者注入JavaScript代碼而進(jìn)行攻擊對象:網(wǎng)站對象:網(wǎng)站的用戶攻擊者偽造用戶請求攻擊者注入JS代碼后執(zhí)行CSRF漏洞分析漏洞測試構(gòu)造惡意Web頁面執(zhí)行惡意操作
根據(jù)頁面回顯的信息,判斷是否存在CSRF漏洞
構(gòu)造惡意Web頁面,引誘合法用戶點(diǎn)擊訪問
使用用戶的合法身份,
執(zhí)行惡意網(wǎng)頁中的非
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 臨時(shí)工招募:2024學(xué)校勤雜工勞動(dòng)協(xié)議
- 2025年數(shù)據(jù)中心場承包運(yùn)營管理協(xié)議4篇
- 專項(xiàng)龍門吊租賃協(xié)議格式范本2024版B版
- 2025年度健身中心場地租賃及私人教練服務(wù)合同4篇
- 二零二四商鋪?zhàn)赓U合同(含租賃期間租賃物處置及變現(xiàn)條款)3篇
- 2025不銹鋼精密鑄造件加工與銷售合作協(xié)議2篇
- 2025年度文化衍生品研發(fā)、生產(chǎn)及銷售合作協(xié)議4篇
- 二零二五年度餐飲業(yè)人力資源外包合同6篇
- 2024藥店負(fù)責(zé)人任期藥店經(jīng)營數(shù)據(jù)統(tǒng)計(jì)與分析聘用合同3篇
- 一次性付款房地產(chǎn)轉(zhuǎn)讓合同(2024年版)
- NGS二代測序培訓(xùn)
- 《材料合成與制備技術(shù)》課程教學(xué)大綱(材料化學(xué)專業(yè))
- 小紅書食用農(nóng)產(chǎn)品承諾書示例
- 釘釘OA辦公系統(tǒng)操作流程培訓(xùn)
- 新生兒科年度護(hù)理質(zhì)控總結(jié)
- GB/T 15934-2024電器附件電線組件和互連電線組件
- 《工貿(mào)企業(yè)有限空間作業(yè)安全規(guī)定》知識(shí)培訓(xùn)
- 高層次人才座談會(huì)發(fā)言稿
- 垃圾清運(yùn)公司管理制度(人員、車輛、質(zhì)量監(jiān)督、會(huì)計(jì)管理制度)
- 《建筑工程設(shè)計(jì)文件編制深度規(guī)定》(2022年版)
- 營銷人員薪酬考核方案
評(píng)論
0/150
提交評(píng)論