码迷,mamicode.com
首页 > 其他好文 > 详细

说说CSRF的攻击

时间:2014-06-28 17:39:05      阅读:185      评论:0      收藏:0      [点我收藏+]

标签:http   java   get   使用   os   html   

说说CSRF

 

对CSRF来说,本来Spring3.1、ASP.NET MVC3、Rails、Django等都现已撑持主动在触及POST的当地增加Token(包含FORM表单和AJAX POST等),似乎是一个tag的工作,但假如知道一些完成原理,手艺来处置,也是有好处的。由于本来很多人做web开发,但触及到web安全方面的都是对比资深的开发人员,很多人安全意识十分单薄,CSRF是什么底子没有听说过。所以对他们来说,CSRF现已是对比深邃的东西了。先说说什么是CSRF?你这能够这么了解CSRF进犯:进犯者盗用了你的身份,以你的名义发送歹意恳求。CSRF能够做的工作包含:以你名义发送邮件,发消息,盗取你的账号,甚至于购买产品,虚拟钱银转账......形成的问题包含:个人隐私走漏以及产业安全。CSRF一般都是使用你的已登录已验证的身份来发送歹意恳求。对比闻名的一个比如即是2009年黑客使用Gmail的一个CSRF缝隙成功获取好莱坞明星Vanessa Hudgens的独家艳照。其进犯进程十分简略,给该明星的gmail账户发了一封email,标题是某大导演约请你来看看这个影片,里边有个图像:,成果她登录Gmail,翻开邮件就默默无闻的中招了,一切邮件被转发到黑客的账号。由于其时Gmail设置转发的设置页面有缝隙,其设置办法是翻开一个窗口,点击断定后实践URL是

 

http://www.metabase.cn/ ?ui=2&fw=true&fwe=newMail@email.com:

http://www.jinanwuliangye.com /mail?ui=2&fw=true&fwe=newMail@email.com:

http://www.tongxinglong.com//mail?ui=2&fw=true&fwe=newMail@email.com:

http://www.qclchina.com//mail?ui=2&fw=true&fwe=newMail@email.com:

http://www.vipfuxin.com//mail?ui=2&fw=true&fwe=newMail@email.com:

http://www.minnan888.net//mail?ui=2&fw=true&fwe=newMail@email.com:

http://www.lcsyt.com//mail?ui=2&fw=true&fwe=newMail@email.com:

http://lf.yunnanw.cn//mail?ui=2&fw=true&fwe=newMail@email.com:

http://www.ceocbs.com//mail?ui=2&fw=true&fwe=newMail@email.com:

http://www.yzbljp.com//mail?ui=2&fw=true&fwe=newMail@email.com:

http://www.hyyfscl.com//mail?ui=2&fw=true&fwe=newMail@email.com:

http://www.shuoma.com.cn//mail?ui=2&fw=true&fwe=newMail@email.com: http://www.altui.net/

\

本来即便不是在同一个页面翻开,在不相同的tab翻开也是相同能够经过网站登录验证的,由于受害者首要现已登录了网站,在浏览网站的进程中,若网站设置了Session cookie,那么在浏览器进程的生命周期内,即便浏览器同一个窗口翻开了新的tab页面,Session cookie也都是有用的,他们在浏览器同一个窗口的多个tab页面里边是共享的(注:如今Gmail撑持多个tab同时持有多个SessionID)。所以进犯过程是,榜首,受害者必须在同一浏览器窗口(即便不是同一tab)内拜访并登入方针站点;第二,这使得Session cookie有用,然后使用受害者的身份进行歹意操作。

再举个实践的比如,假定咱们界面上有删去某一项的连接,例如:Delete;

其Java Spring MVC后台有个函数是删去某个item,注意是GET不是POST:

 

 

 

 

@RequestMapping(value = "region_del.do", method = RequestMethod.GET)

public String regionDel(@RequestParam String name, Locale locale)

{

    //Delete region name=@name....

        

    return "redirect:/region.html";

}

 

点击界面上那个Delete连接,就后台删去某项,看起来十分正常啊。

说说CSRF的攻击,布布扣,bubuko.com

说说CSRF的攻击

标签:http   java   get   使用   os   html   

原文地址:http://www.cnblogs.com/haomad/p/3797263.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!