??????? 美國(guó)服務(wù)器用戶如果是搭建網(wǎng)站業(yè)務(wù)的,可能對(duì)于CSRF攻擊并不陌生,CSRF攻擊是英文Cross-site request forgery的縮寫稱,其意思是指跨站請(qǐng)求偽造,也被稱為One Click Attack或者Session Riding,通常也會(huì)縮寫為XSRF,是一種對(duì)美國(guó)服務(wù)器網(wǎng)站惡意利用的攻擊。CSRF攻擊同時(shí)也是美國(guó)服務(wù)器Web安全中很容易被忽略的攻擊類型,但CSRF比XSS更具危險(xiǎn)性,小編接下來(lái)就介紹下美國(guó)服務(wù)器CSRF攻擊的相關(guān)原理。
??????? 一、美國(guó)服務(wù)器CSRF攻擊的原理
??????? CSRF攻擊是源于美國(guó)服務(wù)器Web的隱式身份驗(yàn)證機(jī)制,Web的身份驗(yàn)證機(jī)制雖然可以保證請(qǐng)求是來(lái)自于某個(gè)訪客的瀏覽器,但卻無(wú)法保證該請(qǐng)求是訪客批準(zhǔn)發(fā)送的,因此CSRF攻擊一般是由服務(wù)端進(jìn)行。
??????? CSRF攻擊過(guò)程是黑客向目標(biāo)美國(guó)服務(wù)器網(wǎng)站注入一個(gè)惡意的CSRF攻擊URL地址,也就是跨站URL地址,當(dāng)訪客訪問(wèn)某特定網(wǎng)頁(yè)時(shí),如果訪客點(diǎn)擊了該URL,那么攻擊就會(huì)觸發(fā),
??????? 黑客可以在該惡意的url對(duì)應(yīng)的網(wǎng)頁(yè)中,利用 <img src="" /> 來(lái)向目標(biāo)美國(guó)服務(wù)器網(wǎng)站發(fā)生一個(gè)get請(qǐng)求,該請(qǐng)求會(huì)攜帶cookie信息,所以也就借用了訪客的身份偽造了一個(gè)請(qǐng)求,該請(qǐng)求可以是目標(biāo)美國(guó)服務(wù)器網(wǎng)站中的用戶有權(quán)限訪問(wèn)的任意請(qǐng)求,也可以使用javascript構(gòu)造一個(gè)提交表單的post請(qǐng)求。比如構(gòu)造一個(gè)轉(zhuǎn)賬的post請(qǐng)求。
??????? 所以CSRF的攻擊美國(guó)服務(wù)器分為兩步,首先要注入惡意URL地址,然后在該地址中寫入攻擊代碼,利用<img> 等標(biāo)簽或者使用Javascript腳本。
??????? 二、美國(guó)服務(wù)器CSRF攻擊的常見特性:
??????? 1:依靠用戶標(biāo)識(shí)危害網(wǎng)站;
??????? 2:利用美國(guó)服務(wù)器網(wǎng)站對(duì)用戶標(biāo)識(shí)的信任;
??????? 3:欺騙訪客的瀏覽器發(fā)送HTTP請(qǐng)求給目標(biāo)美國(guó)服務(wù)器站點(diǎn);
??????? 4:另外可以通過(guò)IMG標(biāo)簽會(huì)觸發(fā)一個(gè)GET請(qǐng)求,可以利用它來(lái)實(shí)現(xiàn)CSRF攻擊。
??????? 三、美國(guó)服務(wù)器CSRF攻擊的防御
??????? 1:通過(guò) referer、token 或者驗(yàn)證碼來(lái)檢測(cè)用戶提交;
??????? 2:盡量不要在頁(yè)面的鏈接中暴露用戶隱私信息;
??????? 3:對(duì)于用戶修改刪除等操作最好都使用post 操作;
??????? 4:避免美國(guó)服務(wù)器全站通用的cookie,嚴(yán)格設(shè)置cookie的域。
??????? 以上內(nèi)容就是關(guān)于美國(guó)服務(wù)器CSRF攻擊的相關(guān)介紹,對(duì)于搭建網(wǎng)站業(yè)務(wù)的美國(guó)服務(wù)器用戶來(lái)說(shuō)需要做好相關(guān)的防御工作,以免遭遇攻擊對(duì)網(wǎng)站業(yè)務(wù)造成不良影響。
夢(mèng)飛科技已與全球多個(gè)國(guó)家的頂級(jí)數(shù)據(jù)中心達(dá)成戰(zhàn)略合作關(guān)系,為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶等提供一站式安全解決方案。持續(xù)關(guān)注夢(mèng)飛科技官網(wǎng),獲取更多IDC資訊!
?
文章鏈接: http://www.qzkangyuan.com/2457.html
文章標(biāo)題:美國(guó)服務(wù)器CSRF攻擊原理介紹
文章版權(quán):夢(mèng)飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明來(lái)源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請(qǐng)聯(lián)系我們!
