16
【FreeBuf字幕组】Web安全漏洞系列:跨站请求伪造
source link: https://www.tuicool.com/articles/zMNvQfe
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
内容介绍
CSRF,跨站请求伪造(Cross-Site Request Forgery),这是一种常见的Web攻击方式,但很多开发人员对它却很陌生,甚至有些安全工程师都对它的利用条件和危害知悉较少。简单来说,就是攻击者诱使受害者去访问一个恶意网页,之后,就会在另一个目标网站中以该受害者身份发起经过构造的恶意请求,执行一种恶意操作,这种伪装成其他用户身份在第三方站点执行操作的攻击就称为CSRF攻击。CSRF看似普通,但在某些场景条件下,却能导致强大的破坏性。
CSRF攻击和同源策略(SOP)、跨域资源共享(CORS)之间有什么关系?如果目标服务端对请求的GET和POST方法做了区分,那又有什么办法来执行CSRF攻击呢?在流行的API架构中,我们如何来伪造POST到服务端的JSON数据呢?CSRF+FLASH+HTTP 307的综合利用为什么值得尝试?本视频中,我们围绕一个表单(Form)形式的POST请求,对以上问题做出解答。当然,更好的是,视频开始之前,希望你对SOP和CORS的具体机制有所了解;视频结束之后,能认真分析讲师给出的案例。
观看视频
看不到视频 点这里
案例:
*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!
* 本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK