終於進入倒數八天了!不過今天也是四天連假的第一天,看來又是一連串艱困的考驗了呢!最後的十天,究竟能不能和我的隊友們順利完賽呢?讓我們繼續看下去 ……
在這 21 天的時間裡,大家介紹過 SQL Injection,也跟大家介紹完了 XSS,熟悉的東西都講完了,突然有點不知道要介紹什麼,那就來跟大家介紹點不熟悉的東西吧!也能趁這個機會對這些東西更加了解。
在開始之前我們先舉個例子:
假設今天班上在進行考試, A 在 B 不知情的情況下將考卷填上了 B 的學號與姓名並且交出去給老師,而老師也沒有對 A 進行身分驗證就收了這張考卷,這時我們就可以將 A 的行為稱為 CSRF。
跨站請求偽造(Cross Site Request Forgery, CSRF),一整個名詞看起來好像很專業、很複雜,但白話一點其實就是攻擊者在不知情的情況下強制 user 執行未經授權的操作。CSRF 的原理在於 Web sever 在收到 user 的 Request 時,通常會在請求中包含一個 CSRF Token (一段隨機生成的數據),確保此 Request 是合法的,並來自 user 的瀏覽器。如果 Token 缺失或不正確,Web sever就會拒絕處理此 request。在 CSRF中,攻擊者試圖通過某種方式欺騙用戶的瀏覽器,使其發送未經授權的請求,而用戶的瀏覽器通常會自動帶上用戶的身份驗證 Cookie,所以現在的瀏覽器一般都會採用帶上用戶身分驗證的 Cookie 以防止 CSRF 攻擊。
看影片追技術
看更多
