CSRFは何ですか(CSRF)
多くの定義は、偽造があっ要求するが、私はそれがサーバによって生じたユーザーのブラウザで信頼さXSSをまとめて発行したリクエストフォージェリと呼ばれるユーザの意図(ユーザの知識なしに特定のアクションを実行するために)、CSRFない要求しますブラウザによって引き起こされる信頼
CSRFの原則と手順:
悪質なWebサイトにサイトのサイトCユーザサイトとB cを仮定
通常のユーザーログオンBサイトは、ログインが成功すると、Bサイトは、ユーザーにクッキーを返します。
Bサイトのユーザーは、Cを訪問し、Cサイトは、ブラウザが正常に行われ、関数bのWebサイトの知識がなくてもアクセス機能へのユーザーの場合はブラウザが必要です
要求に応じてBサイトブラウザ、ユーザーのブラウザ要求の通常の実行
前提CSRFが形成されて:
同じブラウザでの攻撃では、ユーザーがログオンしていると、ユーザーが攻撃者のリンクを訪問しました
CSRF攻撃処理:
ユーザーがパスワードを変更する操作を行うと、通常のページに要求を提出する際
このリクエストの設定専用のWebページを設定する方法によると、このページにアクセスしたときに、このページはインラインフレームを123にパスワードの変更を修正するためのパスワード要求を要求枠組みを発行します、ディスプレイはフレームワークの設定に隠されています
被害者は、プロセスへのアクセス:
私たちは、ユーザーのログインを置き換え
ログイン成功:訪問のウェブサイト
ログアウト
パスワードが123に変更されました
CSRFの防御:
1.サーバーは、認証パラメータhefererブラウザ(パラメータによって表されるが、どのページからの要求である)を要求します
ランダムなトークンの検証を増やす2.