刷赞网站推广免费软件,淄博网站优化价格,个人网站用什么程序,营销公司是什么意思跨站点请求伪造CSRF是跨站点请求伪造#xff0c;它的请求有两个关键点#xff0c;跨站点的请求与请求是伪造的#xff0c;从字面上看#xff0c;跨站点的请求来源应该是其他站点#xff0c;比如#xff0c;目标网站接收到来源网站的恶意操作#xff0c;但是#xff0c;…跨站点请求伪造 CSRF是跨站点请求伪造它的请求有两个关键点跨站点的请求与请求是伪造的 从字面上看跨站点的请求来源应该是其他站点比如目标网站接收到来源网站的恶意操作但是只要是恶意操作即使是同源也可以算作请求伪造因为此操作并不是用户的意愿场景 当有两个网站A和B的时候目标A网站有一个删除文章的功能当我们请求的url为www.a.com/blog/del?id1用户点击删除的时候。变会发出一个get请求这样便会删掉一篇文章然后攻击者当A网站的用户进行了登录之后诱骗A用户打开b网站然后执行如下代码img srcwww.a.com/blog/del?id1 /这样攻击就会发生则会删掉A网站的文章对于CSRF攻击其中最重要的是需要用户登录然后被诱导到恶意网站从而获取到cookie的身份认证然后进行相关恶意操作那么如果当用户使用post提交呢我们查看如下代码function new_form(){var f document.createElement(form);document.body.appendChild(f);f.methodpost;return f;
}function create_elements(eform,ename,evalue){var e document.createElement(input);eform.appendChild(e);e.type text;e.name enameif(!doucment,all){e.style.display none;}else{e.style.display block;e.style.width 0px;e.style.height 0px;}e.value evaluereturn e;
}var f new_form();
create_elements(f,tit,hi);
f.action http://www.a.com/blog/add
f.submit();
构建完成当目标网站A的用户被欺骗访问的恶意网站时一个跨域的post就会提交危害csrf的危害如下篡改目标网站的数据盗取用户隐私数据作为其他攻击的辅助手法传播蠕虫如何防御csrf能成功攻击的根本原因是攻击者能够猜到所有的参数所以出于这个原因我们在防御的情况下可以使用token因为token在进行数据请求或者操作的时候是会生成一个随机数返回给客户端所以这个不固定的数字可以让攻击者很难猜到。但是token仅仅是预防csrf用的。如果攻击者使用xss获取到token那么该方案就会失效。这样的攻击可以称为xsrf界面操作点击劫持界面操作劫持是一种基于视觉欺骗的web劫持攻击在正常的网页操作按钮上面放入一个不可见的iframe实际上用户的操作行为被其不可见的框所劫持然后执行恶意代码劫持分为以下三类点击劫持拖放劫持触屏劫持点击劫持那么首先点击劫持首先的技术原理就是ifamecss样式表我们把iframe 放入 需要输入的地方然后再css中设置如下代码iframe{position:absolute;z-index:9999;opacity:0.1
} 这三个代码是最关键的代码首先position为定位方便我们定位到需要交互的地方然后z-index设置为最大层级然后进行覆盖最后opacity 进行隐藏所以当用户点击正常交互的按钮时其实触发了iframe的然后执行了iframe的代码。拖拽劫持拖拽劫持其实在用户需要拖拽的地方以及拖拽后到达的地方都有恶意代码进行覆盖。一般拖拽的目的是进行数据窃取触屏劫持触屏劫持是指当用户进行手机操作的时候进行劫持比如手机的屏幕很小一般人员会隐藏手机的地址栏但是攻击者可以伪造地址栏给用户输入。然后进行劫持结尾对于点击劫持和xss等来说点击劫持因为需要诱导用户与页面产生交互行为因为实施的成本更高在网路哟中比较少见但是未来仍要注意被攻击的可能性
