CSRF
什么是CSRF?
跨站请求伪造也叫CSRF/XSRF
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。
CSRF攻击的危害
CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求
CSRF危害:以你的名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账
问题包括:个人隐私泄露以及财产安全
CSRF实现条件
受害者必须一次完成两个步骤:
1.登录受信任的网站,并在本地生成Cookie
2.在不登处(退出)网站的情况下,访问危险网站(攻击者引导你访问的站点)
一下为CSRF产生的场景:
1.你不能保证你登录一个网站后,不在打开一个web页面并访问另外的网站
2.你不能保证你关闭浏览器后,你本地的Cookie立刻过期,事实上,关闭一个浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了
3.所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站