2018Web攻防训练营CSRF漏洞原理介绍1.CSRF漏洞定义2.CSRF漏洞原理3.CSRF漏洞代码分析4.CSRF漏洞利用课程内容01CSRF漏洞定义CSRF漏洞定义CSRF(Cross-siterequestforery,跨站请求伪造)也被称为OneClickAttack或者SessionRiding,通常缩写为CSRF或者XSRF。XSS与CSRF区别:1、XSS利用站点内的信任用户,盗取Cookie;2、CSRF通过伪装成受信任用户请求受信任的网站。02CSRF漏洞原理CSRF漏洞原理利用目标用户的合法身份,以目标用户的名义执行某些非法操作。例如:简单转账案例初始化链接:http://www.xxx.com/pay.php?user=xx&money=100构造恶意丽链接:http://www.xxx.com/pay.php?user=恶意用户&money=1000003CSRF漏洞代码分析CSRF漏洞代码分析确保用户已经登录开始转账由此可以得出CSRF成功利用条件:1、用户已经登陆系统2、用户访问对应URL04CSRF漏洞利用CSRF漏洞利用以BWAPPCSRF1中的Low级别为例。1.CSRF漏洞定义2.CSRF漏洞原理3.CSRF漏洞代码分析4.CSRF漏洞利用总结再见欢迎关注Web安全训练营课程
