主题：渗透测试之跨站点请求伪造

渗透测试的跨站点请求伪造英文称为CSRF，全名是cross site request forgery 。它是一种常见的WEB攻击，但许多开发者对它很陌生。CSRF也是WEB安全中最容易被忽略的一种攻击方式。甚至许多安全工程师都不太理解它的利用条件与危害，因此不予重视。但CSRF在某些时候却能够产生强大的破坏性。
什么是CSRF呢？我们先来看一个例b 。
还记得在“跨站脚本攻击”一章中，介绍XSS Payload时的那个“删除搜狐博客”的例子吗？登陆Sohu博客后，只需要请求这个URL，就能够把编号为“156713012”的博文文章删除。
这个URL同时清空存在CSRF漏洞，而本次的渗透测试也围绕着这个CSRF来进行。
而这次请求，导致了搜狐博客上的一篇文章被删除。
回顾整个攻击过程，攻击者仅仅诱使用户仿问了一个页面，就以该用户身份在第三方站点里执行了一次操作。试想。如果这张图片是展示在某个论坛、博客，甚至搜狐一些用户的空间里，会有什么效果呢？只需要经过精心的设计，就能够起到强大的更大的破坏作用。
这个删除博客文章的请求，是攻击者伪造的。所以这种攻击叫做跨站点请求伪造
来源:http://www.88kaifu.com/