CSRF 攻击深入浅出

作者/分享人:蓬蒿
向 Ta 提问
白帽子,安全架构师。2013-2016某杭州信息安全院安全研发部负责人,负责《网站安全监测服务平台》(Web漏洞、敏感词、挂马、暗链等)的架构、设计与实现,熟悉常见web漏洞的渗透方式与防御方式。现为某财税平台的安全团队负责人,负责业务安全开发、安全体系建设、业务风控、API Gateway等工作。熟悉常见dubbo、hsf、spring cloud等分布式服务架构设计与开发。

CSRF(XSRF)中文名为跨站请求伪造,OWASP Top 10 常见 web 漏洞之一。与 XSS 不同的是,其攻击形式为:用户首先登录一正常网站(Normal Website),正常网站向用户浏览器响应 cookie 信息,此时用户还保持在会话连接状态未对登录状态进行注销。默认情况下,用户关闭浏览器则 cookie 信息将被清除,不过可以通过修改 Cookie 的 expires 属性来设置其有效期。然后用户又打开浏览器另一标签页(tab)访问了一个恶意网站(Malicious Website),Malicious Website 会自动构造指向 Normal Website 的恶意 HTTP 请求(增删改您的重要信息)。

在实际项目开发工作中,除了一些资深开发工程师,大部分程序员对 CSRF 的认识是有很大局限性的,究其原因主要还是对其具体攻击形式与原理理解还不够深入。CSRF 攻击形式其实很简单,正因为它的简单反而容易被人忽视,因此它的危害非常巨大。本场 Chat 我将分享:

  1. CSRF 原理
  2. CSRF 攻击方式(案列分析)
  3. CSRF 防御方式(前后端分离场景下)
  4. CSRF 的 Token 安全性分析
  5. CSRF 与 XSS 的区别
已有402人预订
预订达标
文章出炉
交流日期
     
17.11.21
17.12.05
17.12.13 20:30
你可能还喜欢
Java 开发必备面试题详解(技术+人事)
宁楠
如何设计一个灵活的 MySQL 数据表,应对灵活多变的需求
李岩
纯前端大数据处理技术:葡萄城纯前端开发工具应用实践
葡萄城技术团队
Jenkins 自动化构建部署实战
火币集团研发中心
Java 程序员应掌握的 Nginx 实战应用
JPM
小白机器学习基础算法学习必经之路
武博士
带你玩转 JSON
能量架构师
Python Pandas 做数据分析之玩转 Excel 报表分析
WinterLeo
从零搭建 Hadoop 集群
杨爵爷
小程序从入门到进阶
loonglong
微信开放平台的授权和业务开发
JacksonY
实战剖析 Java 秒杀系统的实现
虎口脱险
实战讲解接口自动化测试思路
金刚
Java 并发面试题解
Eric Chen
一篇文章读懂 MySQL 中的锁
张宏杰
微信扫描登录