首頁軟件測試技術文章正文

什么是CSRF攻擊？CSRF攻擊原理圖

更新時間:2021年04月08日17時56分來源:傳智教育瀏覽次數(shù):

CSRF( Cross-Site Request Forgery )為跨站請求偽造，它是一種針對Web應用程序的攻擊方式，攻擊者利用CSRF漏洞偽裝成受信任用戶的請求訪問受攻擊的網站。在CSRF攻擊中，當用戶訪問一個信任網站時，在沒有退出會話的情況下，攻擊者誘使用戶點擊惡意網站，惡意網站會返回攻擊代碼，同時要求訪問信任網站，這樣用戶就在不知情的情況下將惡意網站的代碼發(fā)送到了信任網站，其過程如下圖所示。

CSRF攻擊過程

CSRF的攻擊過程與XSS攻擊過程類似，不同之處在于，XSS是盜取用戶信息偽裝成用戶執(zhí)行惡意活動，而CSRF則是通過用戶向網站發(fā)起攻擊。

如果將XSS攻擊過程比喻為小偷偷取了用戶的身份證去辦理非法業(yè)務，那CSRF攻擊則是騙子“劫持” 了用戶，讓用戶自己去辦理非法業(yè)務，以達到自己的目的。

CSRF漏洞產生的原因主要是對用戶請求缺少更安全的驗證機制。防范CSRF漏洞的主要思路就是加強后臺對用戶及用戶請求的驗證，而不能僅限于cookie的識別。例如，使用http請求頭中的Referer對網站來源進行身份校驗，添加基于當前用戶身份的token驗證，在請求數(shù)據(jù)提交前，使用驗證碼填寫方式驗證用戶來源，防止未授權的惡意操作。

猜你喜歡：

什么是黑客？

怎樣檢測前端頁面的安全性？如何避免web頁面攻擊？

傳智教育軟件測試工程師培訓課程

上一篇：什么是滲透測試?滲透測試有什么特點？ 下一篇：什么是WASC和OWASP?