什么是csrf攻击?csrf攻击原理图
发布时间:2023-05-05 14:17:04
发布人:syq
CSRF(Cross Site Request Forgery,跨站请求伪造)攻击,是一种利用用户已登录的身份去发起跨站请求的攻击方式。攻击者通过某种方式获取到网站的某个页面或接口,把恶意的操作脚本插入其中,当用户访问该页面时,恶意脚本会自动执行,将用户的浏览器发送的请求伪装成针对目标网站的请求进行发送。
攻击步骤如下:
攻击者构造请求,设置好目标网站的地址和参数。
攻击者将请求通过电子邮件、QQ、微信等方式欺骗用户访问页面或点击链接,或通过XSS等方式注入恶意代码。
用户的浏览器接收到请求并自动执行恶意脚本,发送请求到目标网站并携带了攻击者构造的请求参数。
目标网站接收到请求后,由于是用户已经登录的身份发起的请求,服务器会对请求进行验证并执行操作。
攻击原理图如下:
CSRF攻击产生的根本原因,是由于Web应用程序的设计和实现上存在缺陷,即缺乏有效的身份验证和请求判断验证措施。这种缺陷给攻击者可乘之机,透过用户身份欺骗服务器授权,执行攻击者选取的危害操作,从而对用户个人信息、账户财产等造成损失。