CSRF 攻击
时间:2015-03-02 14:29 来源:linux.it.net.cn 作者:IT
CSRF的全称是Cross Site Request Forgery,就是跨站点伪造请求攻击。 简单理解:Bad guy盗用你的身份,做桌下交易。详细原理看 Cross Site Request Forgery
经典案例:
看看乌云网友如何通过CSRF漏洞,自动加关注和发微博。防御措施:
最有效的措施,对敏感操作增加CSRF Token验证并尽量采用POST请求方式(虽然GET 也可以增加Token验证)。
-
用户第一次请求网站是生成CSRF Token并保存到session中。
-
POST请求时,增加Input Field
csrf_token, 参数值通过session获得。
-
服务器端验证Token的合法性,并更新token。
(责任编辑:IT)
CSRF的全称是Cross Site Request Forgery,就是跨站点伪造请求攻击。 简单理解:Bad guy盗用你的身份,做桌下交易。详细原理看 Cross Site Request Forgery 经典案例:看看乌云网友如何通过CSRF漏洞,自动加关注和发微博。防御措施: 最有效的措施,对敏感操作增加CSRF Token验证并尽量采用POST请求方式(虽然GET 也可以增加Token验证)。
(责任编辑:IT) |