【FreeBuf字幕组】Web安全漏洞系列:跨站请求伪造
内容介绍
CSRF,跨站请求伪造(Cross-Site Request Forgery),这是一种常见的Web攻击方式,但很多开发人员对它却很陌生,甚至有些安全工程师都对它的利用条件和危害知悉较少。简单来说,就是攻击者诱使受害者去访问一个恶意网页,之后,就会在另一个目标网站中以该受害者身份发起经过构造的恶意请求,执行一种恶意操作,这种伪装成其他用户身份在第三方站点执行操作的攻击就称为CSRF攻击。CSRF看似普通,但在某些场景条件下,却能导致强大的破坏性。
CSRF攻击和同源策略(SOP)、跨域资源共享(CORS)之间有什么关系?如果目标服务端对请求的GET和POST方法做了区分,那又有什么办法来执行CSRF攻击呢?在流行的API架构中,我们如何来伪造POST到服务端的JSON数据呢?CSRF+FLASH+HTTP 307的综合利用为什么值得尝试?本视频中,我们围绕一个表单(Form)形式的POST请求,对以上问题做出解答。当然,更好的是,视频开始之前,希望你对SOP和CORS的具体机制有所了解;视频结束之后,能认真分析讲师给出的案例。
观看视频
看不到视频点这里
案例:
*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!
* 本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐