csrf攻击,伪造了一个网站是B向目标网站A发起攻击。伪造网站B和目标网站A域名都不一样,怎么拿到cookie的?域名不一样不会跨域拦截吗?
3条回答 默认 最新
- zh阿飞 2022-04-14 00:39关注
这样的,比如你在 http://wwww.aaa.com 网站里面, 你现在登录了
假如,有一个修改密码的接口,需要传一个用户名和新密码就能修改,并且要向后端传cookie,cookie校验通过了就进行修改
get请求
http://wwww.aaa.com?username=zhangsan&newPassword=123456
我们这样调用接口就能修改成功
黑客网站 http://wwww.bbb.com<a href="http://wwww.aaa.com?username=zhangsan&newPassword=123456" target="_blank">点击看美女</a>
你就看见美女兴奋去点击了,因为刚才我们说了你是登录着的,新标签打开了aaa网站,就会去请求http://wwww.aaa.com?username=zhangsan&newPassword=123456
这个接口,因为现在本来就在aaa网站下的,就不会存在跨越问题,所以就会默认携带cookie去请求。这样就把你的信息给修改了, 这样黑客不知道你的密码,但修改成了新的密码,他就能用这个新的密码去登录你的aaa网站了,你的信息就都被盗取了post请求
我们新打开一个窗口,在地址栏中输入链接,回车,这就是一个get请求
但如果我们修改密码是post提交呢?那黑客怎么做,那就需要用表单了,这样就可以发送的是post请求,点击的时候也会跳转到aaa网站,也就会携带cookie<form action="http://wwww.aaa.com" method="post"> <!-- <form action="https://ask.csdn.net/channel/11" method="post"> --> <input type="text" name="username" value="zhangsan" hidden> <input type="text" name="newPassword" value="123456" hidden> <button type="submit">点击查看美女</button> </form>
所以那些解决的话就是验证来源,用token呀,这些你应该都知道了,就不用说了
你可以把以上的试一试,你就跳转到csdn,你看看会不会把csdn的请求cookie携带上
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 1无用
悬赏问题
- ¥15 如果要做一个老年人平板有哪些需求
- ¥15 k8s生产配置推荐配置及部署方案
- ¥15 matlab提取运动物体的坐标
- ¥15 人大金仓下载,有人知道怎么解决吗
- ¥15 一个小问题,本人刚入门,哪位可以help
- ¥15 python安卓开发
- ¥15 使用R语言GD包一直不出结果
- ¥15 计算机微处理器与接口技术相关问题,求解答图片的这个问题,有多少个端口,端口地址和解答问题的方法和思路,不要AI作答
- ¥15 如何根据一个截图编写对应的HTML代码
- ¥15 stm32标准库的PID角度环