CSRF小结
1.漏洞原理
攻击者通过伪造web页面,骗取已登录用户在不知情情况下进行操作。
2.分类
按请求分为:get型、post型
按攻击方式,可分为 :HTML CSRF、JSON HiJacking、Flash CSRF 等。
3.检测方法
正常页面数据包HTTP消息头中有无referer字段,返回的页面是一样的
4. 防御方法
- 检测referer字段
- 生成随机token
- 使用验证码
- 输入原密码确认等
你是这白开水一样淡的日子里偷偷加的一颗糖~~
1.漏洞原理
攻击者通过伪造web页面,骗取已登录用户在不知情情况下进行操作。
2.分类
按请求分为:get型、post型
按攻击方式,可分为 :HTML CSRF、JSON HiJacking、Flash CSRF 等。
3.检测方法
正常页面数据包HTTP消息头中有无referer字段,返回的页面是一样的
4. 防御方法