关于云端点赞想到了csrf攻击

[复制链接]
查看: 8833   回复: 8
发表于 2022-2-12 09:59:15 | 显示全部楼层 |阅读模式
csrf官方解释请自行百度,我举个例子科普下

假如论坛修改密码的请求是/password.php?new=xxx

如果你要修改密码,那么需要你登录论坛,然后服务器验证了cookie才能修改,如果没有登录,访问这个链接是没有用的

一天我装了某插件,大家也没有审计过源码,然后作者某天更新了插件代码,在里面用js加了一句

fetch("/password.php?new=123")

你打开了论坛,然后密码就被修改了

原理就是这个请求是通过你自己浏览器去发送的,带了你的cookie, 然而你并不知道

那么到了那天之后,所有用插件的人的密码都被修改为123

解决办法就是审计源码,或者谨慎使用
回复

使用道具 举报

发表于 2022-2-12 09:59:39 | 显示全部楼层
CSRF-Cross-site request forgery;建议学习下什么是跨 站;就是在loc伪造你在隔壁站的请求;另外,你说的情况确实可以实现,脚本是基于信任安装的;你请的杀手帮你报仇,杀手同样能把你杀掉,风险和收益是自己权衡的,另外,没人强迫你安装,顶论坛大师,超方便!
关于云端点赞想到了csrf攻击

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-2-12 10:00:04 | 显示全部楼层
CSRF是跨站请求伪造,论坛大师是运行在用户浏览器的油猴插件上的,不属于此范畴。:lol关于云端点赞想到了csrf攻击

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 支持 反对

使用道具 举报

发表于 2022-2-12 10:00:18 | 显示全部楼层
ufcmma 发表于 2021-10-19 16:19
只是举个例子,证明他可以通过前端伪造你的请求
比如自杀代码
回复 支持 反对

使用道具 举报

发表于 2022-2-12 10:00:55 | 显示全部楼层
你没看懂就算了,我说的就是你想的那个意思
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-2-12 10:01:54 | 显示全部楼层
人家不需要你cookie,下发指令由用户端执行就可以了
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-2-12 10:02:29 | 显示全部楼层
改密码不需要原始密码?
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-2-12 10:03:24 | 显示全部楼层
只是举个例子,证明他可以通过前端伪造你的请求
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-2-12 10:04:04 | 显示全部楼层
这样的风险 你装的所有脚本都可以给你带来。 只是这个脚本让你引起了注意罢了。关于云端点赞想到了csrf攻击

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则