CSRF我們為什么會上當
遵守網路安全法,此文章僅用于網路安全交流學習
CSRF原理及實驗
CSRF又稱跨站腳本偽造:該攻擊方式可以在受害者毫不知情的情況下,以受害者的名義偽造請求,偽造發送給受攻擊站點,從而在未授權的情況下執行權限保護的操作,
危害
通俗的講就是利用自己的雙手殺自己,黑客利用受害者的身份資訊,以受害者的名義發送請求,服務器認為這是合法的,服務器無法識別,這樣黑客就可以利用你的身份資訊,完成非法轉賬,盜號,支付修改密碼,等惡意操作,
例如:惡意修改他人密碼,首先他需要有受害者修改密碼權限,他偽造一段資訊(這段資訊模擬用戶改密碼程序),這就是惡意用戶的請求資料,也就是他惡意編造了一段URL誘使受害者點擊,
這段URL可以通過URL短鏈接生成工具偽裝精簡形式,下面有具體例子;
惡意用戶利用社會工程學,比如:美女荷官在線發牌,一刀9999等,用戶點進去就會利用用戶身份資訊執行黑客精心構造的陷阱,
實驗
工具:DVWA、火狐瀏覽器、BurpSuite
實驗一:
打開DVWA,設定安全等級low,點擊CSRF模塊,可以看到這是一個更改密碼功能,輸入新的密碼,可以看到URL上方地址,顯而易見這是更改密碼請求URL,
當有人給你發這段地址,你肯定不會點擊,通過URL生成工具,可以看到如下,這樣就神不知鬼不覺上當了,
實驗二:
1、在火狐瀏覽器,打開代理插件FoxyProxy(也可以用其他代理插件),設定127.0.0.1代理,
2、打開burpsuite進行抓包,將抓取到的資料包轉至Repeater,然后在Repeater界面 “右鍵—>Engagement tools—>Generate CSRF POC”,即可生成POC,如下圖
此時生成POC,復制到瀏覽器直接訪問,然后把原始碼拷貝到sublime等HTML文本編輯工具中,做任意的修改,
例如:在Submit提交按鈕中更改點擊領取888,或者用傭訓性的圖片偽造提交按鈕等很多手段誘使用戶上當受騙,
基本防護
1、用戶在瀏覽器定時清理cookie資訊;
2、不要點擊來歷不明的文字或圖片鏈接;
3、添加token驗證,確保登錄用戶身份;
后續
希望受益的朋友點贊、關注;一起交流學習互動,共同進步
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/278809.html
標籤:其他