【FreeBuf字幕组】Web安全漏洞系列:跨站请求伪造

栏目: 编程工具 · 发布时间: 5年前

内容简介:CSRF,跨站请求伪造(Cross-Site Request Forgery),这是一种常见的Web攻击方式,但很多开发人员对它却很陌生,甚至有些安全工程师都对它的利用条件和危害知悉较少。简单来说,就是攻击者诱使受害者去访问一个恶意网页,之后,就会在另一个目标网站中以该受害者身份发起经过构造的恶意请求,执行一种恶意操作,这种伪装成其他用户身份在第三方站点执行操作的攻击就称为CSRF攻击。CSRF看似普通,但在某些场景条件下,却能导致强大的破坏性。CSRF攻击和同源策略(SOP)、跨域资源共享(CORS)之间

内容介绍

CSRF,跨站请求伪造(Cross-Site Request Forgery),这是一种常见的Web攻击方式,但很多开发人员对它却很陌生,甚至有些安全工程师都对它的利用条件和危害知悉较少。简单来说,就是攻击者诱使受害者去访问一个恶意网页,之后,就会在另一个目标网站中以该受害者身份发起经过构造的恶意请求,执行一种恶意操作,这种伪装成其他用户身份在第三方站点执行操作的攻击就称为CSRF攻击。CSRF看似普通,但在某些场景条件下,却能导致强大的破坏性。

CSRF攻击和同源策略(SOP)、跨域资源共享(CORS)之间有什么关系?如果目标服务端对请求的GET和POST方法做了区分,那又有什么办法来执行CSRF攻击呢?在流行的API架构中,我们如何来伪造POST到服务端的JSON数据呢?CSRF+FLASH+HTTP 307的综合利用为什么值得尝试?本视频中,我们围绕一个表单(Form)形式的POST请求,对以上问题做出解答。当然,更好的是,视频开始之前,希望你对SOP和CORS的具体机制有所了解;视频结束之后,能认真分析讲师给出的案例。

观看视频

看不到视频 点这里

案例:

《Github中由CSRF导致的RCE漏洞》

《CSRF+FLASH+HTTP 307的综合利用实例》

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

* 本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《【FreeBuf字幕组】Web安全漏洞系列:跨站请求伪造》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

掘金大数据

掘金大数据

程新洲、朱常波、晁昆 / 机械工业出版社 / 2019-1 / 59.00元

在数据横向融合的时代,充分挖掘数据金矿及盘活数据资产,是企业发展和转型的关键所在。电信运营商以其数据特殊性,必将成为大数据领域的领航者、生力军。各行业的大数据从业者要如何从电信业的大数据中挖掘价值呢? 本书彻底揭开电信运营商数据的神秘面纱,系统介绍了大数据的发展历程,主要的数据挖掘方法,电信运营商在网络运行及业务运营方面的数据资源特征,基于用户、业务、网络、终端及内在联系的电信运营商大数据分......一起来看看 《掘金大数据》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

随机密码生成器
随机密码生成器

多种字符组合密码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器