csrf

防止CSRF攻击

我对跨站请求伪造(Cross Site Request Forgery,即csrf)技术有一定研究,但是对网站开发者应当采取的措施研究不深。这些日子在编写一个对用户和管理员(这些人对他们的任务并不明晰:P)有高度安全要求的分布式网站程序时,我被这个话题深刻的纠缠了。

针对这种情况,我必须考虑程序最终可能受到的各个方面的可能的攻击威胁。

给我最多麻烦的就是Session欺骗(或者CSRF,你可以按照自己喜欢的方式称呼),因为这种攻击是完全以用户的身份,因此并没有百分百的可能性来防止它。

如果你对我刚才说所的Session欺骗并不太了解,那么你可以阅读:http://www.playhack.net/view.php?id=30

» 阅读全文

关键词: csrf , xss , 脚本渗透

CSRF攻击

csrf - Cross-site Request Forgery 字面意思是指跨站点请求伪造,通常用来指 WEB 网站的这一类漏洞,即在某个恶意站点的页面上,促使访问者请求你的网站的某个 URL(通常会用 POST 数据方式),从而达到改变服务器端数据的目的。

看到superhei写了不少相关的文章,这几天刚好遇到。学习学习

http://superhei.blogbus.com

» 阅读全文

关键词: csrf , xss , 攻击 , 入侵