03跨站伪造请求csrf课件.pptxVIP

跨站伪造请求(CSRF) 跨站伪造请求(CSRF) — 课程概要 CSRF 简介 CSRF 的几种常见攻击方式 CSRF 的防御 跨站伪造请求(CSRF) CSRF 简介 CSRF 简介 什么是 CSRF？ CSRF 原理 CSRF 与 XSS 的区别 CSRF 简介 什么是CSRF？ CSRF，全称跨站伪造请求(Cross-site request forgery)，也称为 one click attack/session riding，还可以缩写为 XSRF。 通俗的说就是利用被害者的身份去发送请求！ CSRF 简介 CSRF 原理 CSRF 简介 示例 /del?id=3333 删除id为3333的文章（登录后可操作） /csrf.html img src=/del?id=3333 CSRF 简介 浏览器的 Cookie 保存机制 Session Cookie，浏览器不关闭则不失效 本地 Cookie，过期时间内不管浏览器关闭与否均不失效 CSRF 简介 CSRF 与 XSS 的区别 XSS：利用对用户输入的不严谨然后执行JS语句 CSRF：通过伪造受信任用户发送请求 CSRF 可以通过 XSS 来实现 跨站伪造请求(CSRF) CSRF 的几种攻击方式 CSRF 的几种攻击方式 HTML CSRF JSON HiJacking Flash CSRF CSRF 的几种攻击方式 HTML CSRF 通过 HTML 元素发起 CSRF 请求 CSRF 的几种攻击方式 HTML CSRF 可以发起 GET 请求的标签 link href= img src= frame src= script src= video src=’ Backgroud:url() CSRF 的几种攻击方式 JSON HiJacking 构造自定义的回调函数 /csrf.html script function hijack(data){console.log(data)}; /script script src=/json?callback=hijack CSRF 的几种攻击方式 Flash CSRF 通过 Flash 来实现跨域请求 import .URLRequest; function get(){ var url = new URLRequest(/json?callback=hijack); url.method=GET; sendToURL(url); }; 跨站伪造请求(CSRF) CSRF 的防御方法 CSRF 的防御方法 通过验证码进行防御 检查请求来源 增加请求参数 token 跨站伪造请求(CSRF) 本课程我们主要进行 CSRF 的相关介绍，主要包含： 什么是 CSRF？以及 CSRF 的原理是什么？ CSRF 的常见攻击方式 CSRF 的防御 通过以上课程内容的学习，希望大家能对 CSRF 有一定的认知，虽然有时 CSRF 的危害程度或者说利用比较不容易，但是 CSRF 是 Web 安全中重要的一部分，并且在特定场景下，CSRF 起到的作用也许比其他的如 SQL 注入等可能更有效果！