脆弱性の原因と原則
クロスサイトリクエストフォージェリは、攻撃者がHTTPリクエストを製造することができることを意味し、サードパーティのサイトに宛先サイトのログイン状態にターゲットサイトにユーザーを送信し、要求を行うために、ターゲットサイトリクエストフォージェリ成功したサードパーティ製のソースをチェックしません。
CSRFは、ユーザの要求によって信頼済みサイトを信頼するふりで、それを悪用しながら、XSSは、サイト内のユーザーの信頼を悪用します。
そして、XSSの違い
XSSは、ユーザーのCookieを取得することで、偽造されている必要はありません、ユーザーが直接トリガされ、それはサイト上のスクリプトのいずれかの機能を行うことができます
CSRFは、クッキーの詳細を知っているではない偽造ユーザーを使用してクッキーは、サーバに要求を送信します
ハザードの脆弱性
欺くユーザーのブラウザが標的部位にHTTPリクエストを送信します
IMGタグはGETリクエストをトリガーすることにより、CSRF攻撃を達成するためにそれを使用することができます
守備の脆弱性
1使用トークン
2つの制限が参照してください。
3検証コード技術を使用して
脆弱性のケース発表
ケースを実証するために、DVWA
ただリンクをクリックすることで、CSRFの存在時にパスワードの変更DVWA、被害者のパスワードが変更されます
URLリクエストでパスワード
これは単純ですCSRF CSRF