跨站脚本伪造
用户与服务器端已进行了身份认证,站点已经对用户生成的session,完全信任了,然后此时黑客通过社工发过来一个不友好的链接,
让用户点击请求此站点,站点完全信任这个请求,按照黑客的这个请求办事儿。
0x00CSRF与xss漏洞的区别
- 信任的角度来讲
- XSS:利用用户端对站点的信任
- CSRF:利用站点对已经身份认证的用户的信任
- CSRF是业务逻辑漏洞
0x01结合社工在身份认证会话过程中实现攻击
- 修改账号密码、个人信息(email、收货地址)
- 发送伪造的业务请求(网银、购物、投票)
- 关注他人社交账号、推送博文
- 在用户非自愿、不知情的情况下提交请求
CSRF漏洞原理
原文:https://www.cnblogs.com/-chenxs/p/11489578.html
