一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的 ...
分类:
其他好文 时间:
2016-09-04 01:37:02
阅读次数:
219
最近在整理关于JavaScript代码安全方面的资料,在查关于JavaScript Hijacking的资料时,发现关于它的中文资料很少,故特意整理一下。 一.JavaScript Hijacking原理 其实JavaScript Hijacking和CSRF攻击的思想很类似,关于CSRF攻击可以参 ...
分类:
编程语言 时间:
2016-09-04 01:29:51
阅读次数:
224
00x01 作者:墨 首发:I春秋 [-]CSRF是个什么鬼? |___简单的理解: | 攻击者盗用了你的身份,以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产。 |___CSRF攻击原理: | 当我们打开或者登陆某个网站的时候,浏览器与网站所存放的服 ...
分类:
其他好文 时间:
2016-08-30 22:46:19
阅读次数:
481
当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时,我们就说发生了跨站请求伪造(CSRF)攻击。这些攻击被誉为基于Web的漏洞中的“沉睡的巨人”,因为互联网上的许多站点对此毫无防备,同时还因为这类攻击一直为web开发和安全社区所忽视。 一、概述 当存心不良的Web站点导致用户的浏 ...
分类:
其他好文 时间:
2016-08-28 22:20:45
阅读次数:
128
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的 ...
分类:
其他好文 时间:
2016-08-28 22:18:13
阅读次数:
146
[-]CSRF是个什么鬼? |___简单的理解: | 攻击者盗用了你的身份,以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产。 |___CSRF攻击原理: | 当我们打开或者登陆某个网站的时候,浏览器与网站所存放的服务器将会产生一个会话(cookies ...
分类:
其他好文 时间:
2016-08-07 16:52:54
阅读次数:
156
1.@Html.AntiForgeryToken() 用来防止跨站请求伪造(CSRF)攻击的一个措施 2.@Html.ValidationSummary(true) 主要用来 (1). 显示后台 ModelState.IsValid 验证失败后的提示错误信息。 (2). 或者是后台验证通过,但是某些 ...
分类:
Web程序 时间:
2016-08-07 16:45:35
阅读次数:
309
1、攻击者在“页面1”中http://www.b.com/indexb.html中写下如下代码: 1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-st ...
分类:
其他好文 时间:
2016-07-30 16:28:38
阅读次数:
176
因为 HTTP 协议是无状态的,所以很久以前的网站是没有登录这个概念的,直到网景发明 cookie 以后,网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西,但它很不安全,其中一个原因是因为 cookie 最初被设计成了允许在第三方网站发起的请求中携带,CSRF 攻击就是利用 ...
分类:
其他好文 时间:
2016-07-12 21:28:36
阅读次数:
221
Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过session token来实现的。当客户端请求 ...
分类:
其他好文 时间:
2016-07-04 15:08:28
阅读次数:
160
