1、簡介

  CSRF的全名為Cross-site request forgery,它的中文名為 跨站請求偽造(偽造跨站請求【這樣讀順口一點(diǎn)】)

  CSRF是一種夾持用戶在已經(jīng)登陸的web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方式。相比于XSS,CSRF是利用了系統(tǒng)對頁面瀏覽器的信任,XSS則利用了系統(tǒng)對用戶的信任。

 

回到頂部

2、CSRF攻擊原理

下面為CSRF攻擊原理圖:

電腦培訓(xùn),計(jì)算機(jī)培訓(xùn),平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),Web培訓(xùn),Web前端開發(fā)培訓(xùn)

由上圖分析我們可以知道構(gòu)成CSRF攻擊是有條件的:

  1、客戶端必須一個網(wǎng)站并生成cookie憑證存儲在瀏覽器中

  2、該cookie沒有清除,客戶端又tab一個頁面進(jìn)行訪問別的網(wǎng)站

 

回到頂部

3、CSRF例子與分析

  我們就以游戲虛擬幣轉(zhuǎn)賬為例子進(jìn)行分析

回到頂部

  3.1、簡單級別CSRF攻擊

  假設(shè)某游戲網(wǎng)站的虛擬幣轉(zhuǎn)賬是采用GET方式進(jìn)行操作的,樣式如:

1 http://www.game.com/Transfer.php?toUserId=11&vMoney=1000

網(wǎng)友評論