5.CSRF漏洞

跨站請求偽造: (CSRF,全稱Cross-site request forgery),是指利用受害者尚未失效的身份認證信息(cookie、會話等),誘騙其點擊惡意鏈接或者訪問包含攻擊代碼的頁面,在受害人不知情的情況下以受害者的身份向(身份認證信息所對應的)服務器發送請求,從而完成非法操作(如轉賬、改密等)。

1.GET型

  • 構造帶有POC的網頁:password_new=pwd&password_conf=pwd&Change=Change#
    POC:Proof Of Concept的縮寫。在黑客圈指:觀點驗證程序。運行這個程序就可以得出預期的結果,也就驗證了觀點。

2.POST型

  • 如果網站有添加管理員功能
  • 客戶訪問帶有POC的頁面則添加了管理員賬號

3.偽造方法

  • 使用短鏈接來隱藏URL
  • 構造有誘惑性的攻擊頁面
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容

  • HTTP.sys遠程代碼執行 測試類型:基礎結構測試 威脅分類:操作系統命令 原因:未安裝第三方產品的最新補丁或最...
    天天向上的小M閱讀 3,960評論 0 0
  • 一套實用的滲透測試崗位面試題,你會嗎? 1.拿到一個待檢測的站,你覺得應該先做什么? 收集信息 whois、網站源...
    g0閱讀 4,882評論 0 9
  • 跨站請求偽造也被成為單擊攻擊或者會話疊置,簡稱CSRF或者XSRF。是一種惡意利用從網站信任用戶獲取未授權命令的行...
    留七七閱讀 13,692評論 2 21
  • 急匆匆 補了幾天的文章 故事還在繼續 但可能不會再寫了 想說的太多 能寫出來的太少 只求 她懂得就好
    隱形我閱讀 149評論 0 0
  • 我,蘇沫,出生在一個還算可以的家庭,我爸是Z國最著名的懸疑,推理,玄幻小說家;嗯。。。我媽呢是一名博士生,現任M大...
    汣夏熙閱讀 216評論 0 0