目录:
定义-跨站请求伪造(CSRF)是什么意思?
跨站点请求伪造(CSRF)是一种通过利用来自受信任的网站用户的未授权命令来执行的网站攻击。 CSRF利用网站对特定用户浏览器的信任,与跨站点脚本相反,跨站点脚本利用网站对用户的信任。
此术语也称为会话骑乘或一键式攻击。
Techopedia解释了跨站请求伪造(CSRF)
CSRF通常使用浏览器的“ GET”命令作为攻击点。 CSR伪造者使用HTML标记(例如“ IMG”)将命令注入到特定网站中。 然后将该网站的特定用户用作主机和不为人知的帮凶。 由于合法用户正在发送命令,因此网站通常不知道它受到了攻击。 攻击者可能会发出请求,要求将资金转移到另一个帐户,提取更多资金,或者就PayPal和类似网站而言,将资金转移到另一个帐户。
CSRF攻击很难执行,因为要使其成功,必须进行很多事情:
- 攻击者必须将目标锁定为不检查引荐来源标头的网站(这是常见的)或具有浏览器或允许引荐来源信息欺骗的插件错误的用户/受害者(这种情况很少见)。
- 攻击者必须在目标网站上找到提交的表单,该表单必须具有更改受害人的电子邮件地址登录凭据或进行汇款的能力。
- 攻击者必须为表单或URL的所有输入确定正确的值。 如果要求它们中的任何一个是攻击者无法准确猜测的秘密值或ID,则攻击将失败。
- 当受害者登录到目标站点时,攻击者必须用恶意代码诱使用户/受害者进入网页。
例如,假设个人A在聊天室中也在浏览其银行帐户。 聊天室中有一个攻击者(人B),得知人A也已登录bank.com。 人物B诱使人物A单击链接以获得有趣的图像。 “ IMG”标签包含bank.com表单输入的值,该值将有效地将一定金额从A人的帐户转移到B人的帐户中。 如果在转移资金之前bank.com没有对Person A的辅助身份验证,则攻击将成功。
