概念
Cross-site request foregery,跨站请求攻击,指的是攻击方诱导用户进入第三方网站(可能是攻击方自己的网站,也可能是其他网站),在第三方网站中,利用用户在被攻击网站的登录状态,向被攻击网站发起跨站请求,绕过被攻击网站后台的用户验证,达到冒充用户对被攻击网站进行某项操作的目的。
CSRF 的攻击原理是诱导用户跳转到新的页面,利用服务器的验证漏洞和用户之前的登录状态来冒充用户进行操作。
CSRF 一般流程
- 用户登录 aaa.com,保留了登录凭证 Cookie;
- 攻击方引诱用户打开了 bbb.com;
- 在 bbb.com 中,攻击方发起了一个请求:aaa.com/act=boom,由于用户在 aaa.com 登录了,这个请求会带上 aaa.com 的 Cookie;
- aaa.com 的服务器收到请求,验证 Cookie,以为这是用户自己发的正常请求,以该用户的名义执行了请求的内容;
- 攻击完成,攻击方在用户不知情的情况下,让 aaa.com 执行了他自定义的操作。
概念
Cross-site request foregery,跨站请求攻击,指的是攻击方诱导用户进入第三方网站(可能是攻击方自己的网站,也可能是其他网站),在第三方网站中,利用用户在被攻击网站的登录状态,向被攻击网站发起跨站请求,绕过被攻击网站后台的用户验证,达到冒充用户对被攻击网站进行某项操作的目的。
CSRF 的攻击原理是诱导用户跳转到新的页面,利用服务器的验证漏洞和用户之前的登录状态来冒充用户进行操作。
CSRF 一般流程