攻击与威胁
跨站请求伪造(CSRF)
别称: CSRF, 会话骑乘
定义
一种 Web 攻击,迫使已认证用户的浏览器向存在漏洞的站点发送非预期请求,在用户毫不知情的情况下执行状态变更操作。
跨站请求伪造(CSRF)利用了浏览器在发送请求时会自动附带 Cookie 等凭据这一特点。已经登录目标站点的受害者被诱导加载一个恶意页面,该页面在后台提交表单或调用 API,从而以受害者身份触发修改密码、转账、修改账户设置等操作。常见防御措施包括同步令牌(anti-CSRF token)、SameSite Cookie(Lax 或 Strict)、双重提交模式、敏感操作要求重新认证、校验 Origin/Referer 请求头,以及使用内存中的 Bearer 令牌等非 Cookie 凭据。
示例
- 已登录的用户访问攻击者控制的页面,该页面在后台向 /transfer 发起 POST,将其银行账户中的资金转出。
- 管理员点击链接后,隐藏表单向 /users/promote 提交,从而将管理员权限授予攻击者。
相关术语
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
SameSite Cookie
SameSite Cookie — definition coming soon.
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
CORS (Cross-Origin Resource Sharing)
CORS (Cross-Origin Resource Sharing) — definition coming soon.
Session Management
Session Management — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.