iT邦幫忙

2023 iThome 鐵人賽

DAY 22
0
自我挑戰組

資安大拼盤系列 第 22

[Day22] 金色時光壽司大拼盤 ─ CSRF

  • 分享至 

  • xImage
  •  

終於進入倒數八天了!不過今天也是四天連假的第一天,看來又是一連串艱困的考驗了呢!最後的十天,究竟能不能和我的隊友們順利完賽呢?讓我們繼續看下去 ……

CSRF 介紹

在這 21 天的時間裡,大家介紹過 SQL Injection,也跟大家介紹完了 XSS,熟悉的東西都講完了,突然有點不知道要介紹什麼,那就來跟大家介紹點不熟悉的東西吧!也能趁這個機會對這些東西更加了解。

在開始之前我們先舉個例子:
假設今天班上在進行考試, A 在 B 不知情的情況下將考卷填上了 B 的學號與姓名並且交出去給老師,而老師也沒有對 A 進行身分驗證就收了這張考卷,這時我們就可以將 A 的行為稱為 CSRF。

跨站請求偽造(Cross Site Request Forgery, CSRF),一整個名詞看起來好像很專業、很複雜,但白話一點其實就是攻擊者在不知情的情況下強制 user 執行未經授權的操作。CSRF 的原理在於 Web sever 在收到 user 的 Request 時,通常會在請求中包含一個 CSRF Token (一段隨機生成的數據),確保此 Request 是合法的,並來自 user 的瀏覽器。如果 Token 缺失或不正確,Web sever就會拒絕處理此 request。在 CSRF中,攻擊者試圖通過某種方式欺騙用戶的瀏覽器,使其發送未經授權的請求,而用戶的瀏覽器通常會自動帶上用戶的身份驗證 Cookie,所以現在的瀏覽器一般都會採用帶上用戶身分驗證的 Cookie 以防止 CSRF 攻擊。

金色時光壽司大拼盤

圖片來源


上一篇
[Day21]好時光大早餐 ─ XSS(4)
下一篇
[Day23] 蒸籠宴 ─ CSRF(2)
系列文
資安大拼盤30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言