如何進(jìn)行CSRF整理分析，相信很多沒有經(jīng)驗(yàn)的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括達(dá)川網(wǎng)站建設(shè)、達(dá)川網(wǎng)站制作、達(dá)川網(wǎng)頁制作以及達(dá)川網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，達(dá)川網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到達(dá)川省份的部分城市，未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

簡介

每個(gè)漏洞玩好了都是大佬，希望每個(gè)人都能學(xué)有所成

免責(zé)聲明：

禁止對真實(shí)未授權(quán)網(wǎng)站進(jìn)行測試，后果自負(fù)

一、原理

當(dāng)黑客發(fā)現(xiàn)某網(wǎng)站存在CSRF漏洞，并且構(gòu)造攻擊參數(shù)將payload制作成網(wǎng)頁，用戶訪問存在CSRF漏洞的網(wǎng)站，并且登錄到后臺，獲取cookie，此時(shí)黑客發(fā)送帶有payload的網(wǎng)址給用戶，用戶同時(shí)打開黑客所發(fā)來的網(wǎng)址，執(zhí)行了payload，則造成了一次CSRF攻擊

形成原因：主要是漏洞網(wǎng)站沒有經(jīng)過二次驗(yàn)證，和用戶在瀏覽漏洞網(wǎng)站的時(shí)候，同時(shí)點(diǎn)擊了hack制造的payload

二、與XSS的區(qū)別

XSS：hack發(fā)現(xiàn)存在xss漏洞的網(wǎng)站—>制造payload—>將帶有payload的網(wǎng)址發(fā)送給用戶誘導(dǎo)點(diǎn)擊—>執(zhí)行payload獲取黑客獲取到敏感信息—>hack利用敏感信息進(jìn)行操作數(shù)據(jù)修改

CSRF: hack發(fā)現(xiàn)存在CSRF漏洞的網(wǎng)站—>制造payload—>將帶有payload的網(wǎng)址發(fā)送給用戶誘導(dǎo)點(diǎn)擊—>用戶瀏覽了存在CSRF漏洞網(wǎng)站的情況下同時(shí)點(diǎn)擊hack制作的payload鏈接，執(zhí)行payload并且修改數(shù)據(jù)

區(qū)別：XSS是由hack誘導(dǎo)用戶點(diǎn)擊之后獲取敏感信息，hack自己通過敏感信息進(jìn)行下一步工具

區(qū)別：CSRF由hack構(gòu)造payload誘導(dǎo)用戶點(diǎn)擊，用戶點(diǎn)擊的過程中同時(shí)瀏覽了存在漏洞的網(wǎng)站，由用戶發(fā)起hack所制作的payload請求，修改信息

三、漏洞挖掘

添加信息

刪除信息

修改信息

一切可執(zhí)行的地方，并且沒有進(jìn)行二次驗(yàn)證碼和token驗(yàn)證的地方，就有可能存在CSRF

四、漏洞利用

例1：發(fā)現(xiàn)DVWA靶場存在CSRF漏洞攻擊特征

通過BP抓包和BP的制作CSRF代碼的功能進(jìn)行payload的制作

將代碼復(fù)制出來制作成html文件，并發(fā)送給客戶端誘使其執(zhí)行

用戶瀏覽同時(shí)瀏覽DVWA靶場和hack制作的payload的網(wǎng)頁時(shí)，直接進(jìn)行了修改密碼請求，并且成功

最不可能存在的也是最基本的CSRF攻擊方:

例2：上面是POST方式提交的，那么GET方式改如何制作payload呢

制作一個(gè)超鏈接，單數(shù)就是服務(wù)器請求地址，加修改的參數(shù)，當(dāng)用戶請求的時(shí)候就發(fā)起了一次攻擊

例3：還有一種是通過post發(fā)起請求，然后將input請求標(biāo)簽隱藏在iframe標(biāo)簽中，并且隱藏，然后通過js代碼來調(diào)取和執(zhí)行這次標(biāo)簽的請求，之后跳轉(zhuǎn)到用戶點(diǎn)擊的正常頁面。這樣可以盡可能少的產(chǎn)生懷疑

看完上述內(nèi)容，你們掌握如何進(jìn)行CSRF整理分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

新聞標(biāo)題：如何進(jìn)行CSRF整理分析
本文網(wǎng)址：http://www.chinadenli.net/article48/joiphp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)公司、網(wǎng)站設(shè)計(jì)、響應(yīng)式網(wǎng)站、用戶體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)