309人加入学习
(1人评价)
PHP代码审计之CSRF
价格 ¥ 99.00
承诺服务
音频听课 手机端支持一键听课 (试一试)
会员免费学 购买课程
课程介绍

跨站点请求伪造(也称为CSRF)是一个Web安全漏洞,攻击者可以利用该漏洞诱使用户执行他们不打算执行的操作。它允许攻击者部分规避同一原始策略,该策略旨在防止不同的网站相互干扰。

在成功的CSRF攻击中,攻击者会导致受害者用户无意中执行操作。例如,这可能是更改其帐户上的电子邮件地址,更改其密码或进行资金转帐。根据操作的性质,攻击者可能会完全控制用户的帐户。如果受感染的用户在应用程序中具有特权角色,则攻击者可能能够完全控制所有应用程序的数据和功能。

使CSRF攻击成为可能,必须具备三个关键条件:

相关动作。攻击者有理由诱使应用程序中发生某种动作。这可能是特权操作(例如,修改其他用户的权限)或对用户特定数据的任何操作(例如,更改用户自己的密码)。
基于Cookie的会话处理。执行该操作涉及发出一个或多个HTTP请求,并且该应用程序仅依靠会话cookie来标识发出请求的用户。没有其他机制可以跟踪会话或验证用户请求。
没有不可预测的请求参数。执行该操作的请求不包含攻击者无法确定或猜测其值的任何参数。例如,当使用户更改其密码时,如果攻击者需要知道现有密码的值,则该功能不容易受到攻击。

授课教师

课程特色

视频(1)
下载资料(1)