北京
北京
成都
杭州
三亚
东莞
苏州
上海
深圳
天津
济南
西安
南昌
大连
石家庄
长沙
广州
南宁
沈阳
长春
宁波
昆明
青岛
常州
海南
重庆
无锡
郑州
合肥
南京
佛山
武汉
更多城市
鞍山
北京
保定
北海
包头
蚌埠
成都
长沙
长春
常州
重庆
东莞
大连
大庆
福州
佛山
广州
桂林
贵阳
赣州
杭州
海南
合肥
哈尔滨
衡水
湖州
淮安
惠州
衡阳
邯郸
呼和浩特
更多城市
济南
吉林
江门
嘉兴
济宁
江阴
九江
昆明
昆山
廊坊
兰州
洛阳
聊城
临沂
连云港
柳州
乐山
马鞍山
绵阳
南昌
南宁
宁波
南京
南通
青岛
秦皇岛
泉州
三亚
苏州
上海
深圳
石家庄
沈阳
绍兴
汕头
宿迁
天津
唐山
太原
泰州
厦门
更多城市
无锡
武汉
威海
潍坊
西安
厦门
徐州
烟台
扬州
银川
郑州
珠海
舟山
更多城市
首页
新房
本月开盘
热门楼盘
本月交房
楼盘新动态
特价房
楼盘导购
新房排行榜
购房知识
看房团
特价房
二手房
在售房源
业主真房源
特价房
找小区
找别墅
查成交
二手房排行榜
购房知识
法拍房
我要卖房
直播看房
租房
在租房源
个人房源
整租房源
合租房源
别墅房源
租房知识
免费发布出租
查房价
装修家居
家装案例
装修效果图
装修攻略
家居圈
家居资讯
建材店铺
免费设计
免费验房
装修报价
商铺写字楼
写字楼出租
写字楼出售
写字楼新盘
写字楼楼盘
商铺出租
商铺出售
商铺新盘
商铺楼盘
海外房产
澳大利亚房产
新加坡房产
马来西亚房产
泰国房产
日本房产
阿联酋房产
资讯
房产快讯
房产问答
房产知识
房产圈
百科
直播看房
地产数据
房产交易
土地市场
研究报告
物业数据
数据商城
更多
土地
产业
中指云
地产数据
土地市场
研究报告
百城价格指数
地产文库
数据商城
业主论坛
精华帖
装修论坛
购房圈
VR全景看房
加盟房天下
房天下视频
更多服务
开发云
土地云
经纪云
登录
立即注册
我的房天下
特价房
我的房产圈
退出
房天下
>
北京业主论坛
>
楼市话题(业内论坛)
>
渗透测试之跨站点请求伪造
上一页
|
1
|
/
1页
go
主题:
渗透测试之跨站点请求伪造
lzero_qq
发表于
2014-03-20
进微信群讨论
渗透测试的跨站点请求伪造英文称为CSRF,全名是cross site request forgery 。它是一种常见的WEB攻击,但许多开发者对它很陌生。CSRF也是WEB安全中最容易被忽略的一种攻击方式。甚至许多安全工程师都不太理解它的利用条件与危害,因此不予重视。但CSRF在某些时候却能够产生强大的破坏性。
什么是CSRF呢?我们先来看一个例b 。
还记得在“跨站脚本攻击”一章中,介绍XSS Payload时的那个“删除搜狐博客”的例子吗?登陆Sohu博客后,只需要请求这个URL,就能够把编号为“156713012”的博文文章删除。
这个URL同时清空存在CSRF漏洞,而本次的
渗透测试
也围绕着这个CSRF来进行。
而这次请求,导致了搜狐博客上的一篇文章被删除。
回顾整个攻击过程,攻击者仅仅诱使用户仿问了一个页面,就以该用户身份在第三方站点里执行了一次操作。试想。如果这张图片是展示在某个论坛、博客,甚至搜狐一些用户的空间里,会有什么效果呢?只需要经过精心的设计,就能够起到强大的更大的破坏作用。
这个删除博客文章的请求,是攻击者伪造的。所以这种攻击叫做跨站点请求伪造
来源:
http://www.88kaifu.com/
上一页
|
1
|
/
1页
go
什么是CSRF呢?我们先来看一个例b 。
还记得在“跨站脚本攻击”一章中,介绍XSS Payload时的那个“删除搜狐博客”的例子吗?登陆Sohu博客后,只需要请求这个URL,就能够把编号为“156713012”的博文文章删除。
这个URL同时清空存在CSRF漏洞,而本次的渗透测试也围绕着这个CSRF来进行。
而这次请求,导致了搜狐博客上的一篇文章被删除。
回顾整个攻击过程,攻击者仅仅诱使用户仿问了一个页面,就以该用户身份在第三方站点里执行了一次操作。试想。如果这张图片是展示在某个论坛、博客,甚至搜狐一些用户的空间里,会有什么效果呢?只需要经过精心的设计,就能够起到强大的更大的破坏作用。
这个删除博客文章的请求,是攻击者伪造的。所以这种攻击叫做跨站点请求伪造
来源:http://www.88kaifu.com/