神刀安全网

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估。在“开放式Web应用程序安全项目”(OWASP)的榜单中,CSRF(又称XSRF)就位于前10的位置。简而言之,就是恶意软件强制浏览器在用户已认证的上下文环境中,执行原本并不需要的指令。

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

浏览器厂家深知这一危害,从而推出了某些类型的CSRF防护技术。

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

尽管如此,攻击者们的手段也在日益翻新,甚至结合多种类型的Web攻击以放大危害(比如XSS和SQL注入)。

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

举例来说,某CSRF通过XSS(跨站脚本)抓取了用户的cookies,然后借此将资金转出用户的银行账户。

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

为了抵御CSRF攻击,开发者们可以在表单上部署CAPTCHA、利用多步事务、以及单次使用加密数来强化他们的anti-CRSF令牌。

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

[信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

[编译自: Soft Pedia , 信息图( 完整大图 )]

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » [信息图]跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮