Web安全與防護 (微課版) 課件 05-2 項目五 任務二 跨站請求偽造攻擊的原理_第1頁
Web安全與防護 (微課版) 課件 05-2 項目五 任務二 跨站請求偽造攻擊的原理_第2頁
Web安全與防護 (微課版) 課件 05-2 項目五 任務二 跨站請求偽造攻擊的原理_第3頁
Web安全與防護 (微課版) 課件 05-2 項目五 任務二 跨站請求偽造攻擊的原理_第4頁
Web安全與防護 (微課版) 課件 05-2 項目五 任務二 跨站請求偽造攻擊的原理_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

項目五

安全的個人信息修改Web安全與防護本任務要點學習目標理解跨站請求偽造攻擊的原理熟悉跨站請求偽造攻擊的步驟熟悉跨站請求偽造攻擊的特點任務二

跨站請求偽造攻擊的原理目錄CONTENTS01/CSRF攻擊步驟02/CSRF的特點CSRF攻擊步驟01(1)攻擊者創(chuàng)建一個偽造的請求,該請求在運行時會將10,000美元從特定銀行轉(zhuǎn)入攻擊者的賬戶;(2)攻擊者將偽造的請求嵌入到超鏈接中,以批量電子郵件的形式發(fā)送出去,并將其嵌入到網(wǎng)站中;(3)受害者點擊攻擊者放置的電子郵件或網(wǎng)站鏈接,導致受害者向銀行提出轉(zhuǎn)賬10,000美元的請求;(4)銀行服務器接收到請求,并且由于受害者得到了適當?shù)氖跈?,它將請求視為合法并轉(zhuǎn)移資金。CSRF漏洞成因通常是因為站點Cookie沒有過期,網(wǎng)站沒有沒有進行進一步的驗證用戶信息,用戶在沒有任何安全意識的情況下訪問了惡意站點。CSRF的特點02CSRF通常是跨域的,因為外域通常更容易被攻擊者掌控。但是如果本域下有容易被利用的功能,比如可以發(fā)圖和鏈接的論壇和評論區(qū),攻擊可以直接在本域下進行,而且這種攻擊更加危險。(1)攻擊一般發(fā)起在第三方網(wǎng)站,而不是被攻擊的網(wǎng)站。被攻擊的網(wǎng)站無法防止攻擊發(fā)生。(2)攻擊利用受害者在被攻擊網(wǎng)站的登錄憑證,冒充受害者提交操作;而不是直接竊取數(shù)據(jù)。(3)整個過程攻擊者并不能獲取到受害者的登錄憑證,僅僅是“冒用”。(4)跨站請求可以用各種方式:圖片URL、超鏈接、CORS、Form提交等等。部分請求方式可以直接嵌入在第三方論壇、文章中,難以進行追蹤。課堂實踐一、任務名稱:理解跨站請求偽造攻擊的原理與特點二、任務內(nèi)容:回顧上一節(jié)課的代碼是否存在問題三、工具需求:瀏覽器、Vscode、Apache、MySQL、PHP四、任務要求:小組討論后輪流進行發(fā)言,老師進行點評。課堂思考一、跨站請求偽造屬于前端安全問題還是后端安全問題?二、跨站請求偽造能造成什么樣的危害?三、跨站請求偽造攻擊如何防范?課后拓展:CSRF檢測修復請同學們通過互聯(lián)網(wǎng)檢索跨站請求偽造攻擊的檢測和修復手段,學習并研究跨站請求偽造攻擊的檢測和修復手段,下節(jié)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論