Closed. This question needs to be more focused。它当前不接受答案。
想改善这个问题吗?更新问题,使其仅通过editing this post专注于一个问题。
5年前关闭。
Improve this question
给定一个网站,如何检测潜在的CSRF漏洞?
提前致谢
当受害者以管理员用户身份登录到您的站点(
建议使用Synchronizer Token Pattern修复此漏洞。当合法用户在服务器上存储并与用户会话配对时,它将在您的站点上添加一个加密安全的随机字符串,称为令牌,该令牌称为表单。提交表单后,系统将检查POSTED令牌是否与期望的令牌匹配。任何攻击者都无法从您的站点读取令牌,因为任何跨站点访问均受Same Origin Policy保护。
Web安全扫描程序通常可以检测到您站点上的此类漏洞。您可以通过检查浏览器机制提交的表单来进行手动检查,以查明它们是否包含令牌字段。但是,AJAX提交可以使用其他方法,例如the
想改善这个问题吗?更新问题,使其仅通过editing this post专注于一个问题。
5年前关闭。
Improve this question
给定一个网站,如何检测潜在的CSRF漏洞?
提前致谢
最佳答案
这是CSRF攻击:-
诱使受害者浏览的www.evil.com页面包含以下代码:
<form method="post" action="https://www.example.com/executeAction">
<input type="hidden" name="action" value="deleteAllUsers">
</form>
<script>document.forms[0].submit()</script>
当受害者以管理员用户身份登录到您的站点(
www.example.com)时,表单提交将起作用,并且所有用户将从系统中删除。建议使用Synchronizer Token Pattern修复此漏洞。当合法用户在服务器上存储并与用户会话配对时,它将在您的站点上添加一个加密安全的随机字符串,称为令牌,该令牌称为表单。提交表单后,系统将检查POSTED令牌是否与期望的令牌匹配。任何攻击者都无法从您的站点读取令牌,因为任何跨站点访问均受Same Origin Policy保护。
Web安全扫描程序通常可以检测到您站点上的此类漏洞。您可以通过检查浏览器机制提交的表单来进行手动检查,以查明它们是否包含令牌字段。但是,AJAX提交可以使用其他方法,例如the
Origin header or X-Requested-With。关于security - 如何检测CSRF漏洞,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/24794495/
10-16 05:47