CSRF的概念
CSRF(Cross-Site Request Forgery)中文名为“跨站请求伪造”。这是一种常见的网络攻击手段,攻击者通过构造恶意请求,诱骗已登录的合法用户在不知情的情况下执行非本意的操作。这种攻击方式利用了Web应用程序中用户身份验证的漏洞,即浏览器在用户完成登录后会自动携带相关的认证信息(如Cookie、Authorization header等)发送给服务器,使得服务器误以为请求来自已授权的用户。
这种攻击手段其实很常见,因此有必要了解他得到原理以及相对的防范措施。
基于上面的概念描述,CSRF攻击带来的影响可以总结为下面三点:
- 在成功的
CSRF攻击中,攻击者会导致受害用户无意中执行操作。例如,这可能是更改其帐户上的电子邮件地址、更改密码或进行资金转账。 - 根据操作的性质,攻击者可能能够完全控制用户的帐户。
- 如果受感染的用户在应用程序中具有特权角色,则攻击者可能能够完全控制应用程序的所有数据和功能。
CSRF距离我们并不遥远,以下是一些著名的 CSRF 攻击的示例。
- TikTok ——2020 年,字节跳动收到了有关漏洞的报告,该漏洞允许攻击者向 Tiktok 用户发送包含恶意软件的消息。部署恶意软件后,攻击者可以执行 CSRF 或跨站脚本
