monkey-k 2022-04-13 21:14 采纳率: 100%
浏览 38
已结题

csrf攻击不理解的地方?

csrf攻击,伪造了一个网站是B向目标网站A发起攻击。伪造网站B和目标网站A域名都不一样,怎么拿到cookie的?域名不一样不会跨域拦截吗?

  • 写回答

3条回答 默认 最新

  • zh阿飞 2022-04-14 00:39
    关注

    这样的,比如你在 http://wwww.aaa.com 网站里面, 你现在登录了

    假如,有一个修改密码的接口,需要传一个用户名和新密码就能修改,并且要向后端传cookie,cookie校验通过了就进行修改

    1. get请求
      http://wwww.aaa.com?username=zhangsan&newPassword=123456我们这样调用接口就能修改成功
      黑客网站 http://wwww.bbb.com
      <a href="http://wwww.aaa.com?username=zhangsan&newPassword=123456" target="_blank">点击看美女</a>
      你就看见美女兴奋去点击了,因为刚才我们说了你是登录着的,新标签打开了aaa网站,就会去请求 http://wwww.aaa.com?username=zhangsan&newPassword=123456这个接口,因为现在本来就在aaa网站下的,就不会存在跨越问题,所以就会默认携带cookie去请求。这样就把你的信息给修改了, 这样黑客不知道你的密码,但修改成了新的密码,他就能用这个新的密码去登录你的aaa网站了,你的信息就都被盗取了

    2. post请求
      我们新打开一个窗口,在地址栏中输入链接,回车,这就是一个get请求
      但如果我们修改密码是post提交呢?那黑客怎么做,那就需要用表单了,这样就可以发送的是post请求,点击的时候也会跳转到aaa网站,也就会携带cookie

      <form action="http://wwww.aaa.com" method="post">
      <!-- <form action="https://ask.csdn.net/channel/11" method="post"> -->
       <input type="text" name="username" value="zhangsan" hidden>
       <input type="text" name="newPassword" value="123456" hidden>
       <button type="submit">点击查看美女</button>
      </form>
      

      所以那些解决的话就是验证来源,用token呀,这些你应该都知道了,就不用说了

    你可以把以上的试一试,你就跳转到csdn,你看看会不会把csdn的请求cookie携带上

    img

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论 编辑记录
查看更多回答(2条)

报告相同问题?

问题事件

  • 系统已结题 4月22日
  • 已采纳回答 4月14日
  • 创建了问题 4月13日

悬赏问题

  • ¥15 如果要做一个老年人平板有哪些需求
  • ¥15 k8s生产配置推荐配置及部署方案
  • ¥15 matlab提取运动物体的坐标
  • ¥15 人大金仓下载,有人知道怎么解决吗
  • ¥15 一个小问题,本人刚入门,哪位可以help
  • ¥15 python安卓开发
  • ¥15 使用R语言GD包一直不出结果
  • ¥15 计算机微处理器与接口技术相关问题,求解答图片的这个问题,有多少个端口,端口地址和解答问题的方法和思路,不要AI作答
  • ¥15 如何根据一个截图编写对应的HTML代码
  • ¥15 stm32标准库的PID角度环