CSRF
本文参考书目<web安全攻防:渗透测试实战指南>
有pdf,若想认真学习请支持正版买本纸质的
ps:本篇内容在书中介绍的很好,基本没啥总结,大部分摘抄就够了。
介绍
CSRF ( Cross-site request forgery , 跨站请求伪造〉也被称为One Click Attack或者Session Riding 。是一种对网站的恶意利用。尽管听起来像跨站脚本XSS ),但它与xss非常不同, xss利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站,即利用网站对用户的信任。
举个例子,你想给某位用户转账100元,那么单击“转账”按钮后,发出的HTTP请求会与http://www.xxbank.com/pay.php?user=xx&money= 100类似。而攻击者构造链接( http://www.xxbank.com/pay.php?user=hack&money= 100 ),当目标用户访问了该URL后,就会自动向Hack账号转账100元。
CSRF漏洞经常被用来制作蠕虫攻击、刷SEO流量等。
ps:短到不想放图。。。
放图
如果有错误或者有什么想讨论的
联系方式[email protected]