保存成功
保存失败,请重试
提交成功

CSRF 攻击深入浅出

作者/分享人:蓬蒿
杭州信息安全院安全研发部负责人(2013 - 2016),负责Web网站安全监测服务平台( Web 漏洞、敏感词、挂马、暗链等)的架构、设计与实现,熟悉常见 Web 漏洞的基本原理与渗透方式。现担任中国互联网最大财税平台的架构师,负责业务安全开发、安全体系建设、业务风控、API Gateway 等工作,熟悉常见 Dubbo 、HSF、Spring Cloud 等分布式服务架构设计与与实现。

CSRF(XSRF)中文名为跨站请求伪造,OWASP Top 10 常见 web 漏洞之一。与 XSS 不同的是,其攻击形式为:用户首先登录一正常网站(Normal Website),正常网站向用户浏览器响应 cookie 信息,此时用户还保持在会话连接状态未对登录状态进行注销。默认情况下,用户关闭浏览器则 cookie 信息将被清除,不过可以通过修改 Cookie 的 expires 属性来设置其有效期。然后用户又打开浏览器另一标签页(tab)访问了一个恶意网站(Malicious Website),Malicious Website 会自动构造指向 Normal Website 的恶意 HTTP 请求(增删改您的重要信息)。

在实际项目开发工作中,除了一些资深开发工程师,大部分程序员对 CSRF 的认识是有很大局限性的,究其原因主要还是对其具体攻击形式与原理理解还不够深入。CSRF 攻击形式其实很简单,正因为它的简单反而容易被人忽视,因此它的危害非常巨大。本场 Chat 我将分享:

  1. CSRF 原理
  2. CSRF 攻击方式(案列分析)
  3. CSRF 防御方式(前后端分离场景下)
  4. CSRF 的 Token 安全性分析
  5. CSRF 与 XSS 的区别
已有560人预订
预订达标
文章出炉
交流日期
     
17.11.21
17.12.05
17.12.13 20:30
你可能还喜欢
Redis 难题突破,最经典 36 题含详细解析
慕容千语
送卫衣:GitChat 1024 留言有奖活动来啦!
GitChat 内容组
如何依靠副业赚钱,应对人到中年的职场危机
代码GG陆晓明
数据结构算法常见的 100 道面试题全解析:2019 版
攻城狮
Redis 面试题全解析
驰骋
【有奖活动】用一句话证明你是程序员
🐡赵小胖
前端 MVVM 模式中的数据层(Model)实战应用
Think.
VSCode 使用教程:使用好的工具提高你的工作效率
暖和狐狸
Zookeeper 详解与实践,你面试工作都绕不开的必考题!
latent
详解 Google Protocol Buffer 协议
拾贝壳的人
大白话聊技术之 Redis 秒杀系统的设计与实现
咔咔
让架构师和研发团队争论了 10 分钟的简单事务问题
zaqweb
线程池原理及优化
ilomilo
深度学习必备之高等数学知识加油站
奔跑的小米
原来你是这样的 GitHub
村中少年
微信扫描登录
关注提示×
扫码关注公众号,获得 Chat 最新进展通知!
入群与作者交流×
扫码后回复关键字 入群
Chat·作者交流群
入群码
该二维码永久有效