开发学院网络安全安全技术 专家深入解析跨站请求伪造漏洞(上) 阅读

专家深入解析跨站请求伪造漏洞(上)

 2008-12-25 13:44:09 来源:WEB开发网   
核心提示: 二、跨站请求伪造攻击原理为了便于读者对于跨站请求伪造漏洞的原理,下面我们用图例进行解释,专家深入解析跨站请求伪造漏洞(上)(2),图1、图2和图3为大家介绍了CSRF攻击的一般原理, 图1浏览器和网站建立认证的会话这里,它的某个页面,如http://example.com/compose.

二、跨站请求伪造攻击原理

为了便于读者对于跨站请求伪造漏洞的原理,下面我们用图例进行解释。图1、图2和图3为大家介绍了CSRF攻击的一般原理。

专家深入解析跨站请求伪造漏洞(上)

图1 浏览器和网站建立认证的会话

这里,Web浏览器已经跟可信的站点建立了一个经认证的会话。之后,只要是通过该Web浏览器这个认证的会话所发送的请求,都被视为可信的动作。

专家深入解析跨站请求伪造漏洞(上)

图2 浏览器发送有效的请求

上图中,浏览器正在发送一个有效的请求,即Web浏览器企图执行一个可信的动作。可信的站点经确认发现,该Web浏览器已通过认证,所以该动作将被执行。

专家深入解析跨站请求伪造漏洞(上)

图3 恶意站点伪造的有效请求

上图中,发生了一个CSRF攻击。发起攻击的站点致使浏览器向可信的站点发送一个请求。该可信的站点认为,来自该Web浏览器的请求都是经过认证的有效请求,所以执行这个“可信的动作”。CSRF攻击之所以会发生,其根本原因就是Web站点所验证的是Web浏览器而非用户本身。下面我们用一个具体的示例来详细介绍CSRF攻击。

假设某个站点存在CSRF攻击漏洞,比如一个基于Web的电子邮件网站,用户通过该站点可以发送和接收电子邮件。该站点利用隐式认证方式来验证用户身份,它的某个页面,如http://example.com/compose.htm包含一个供用户输入收信人的电子邮件地址、主题和消息的HTML表单,以及一个名为“Send Email”的按钮。

上一页  1 2 3 4 5 6 7  下一页

Tags:专家 深入 解析

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接