CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。
CSRF为什么能够攻击成功? 其本质原因是重要操作的所有参数都是可以被攻击者猜测到的。
攻击者只有预测出URL的所有参数与参数值,才能成功地构造一个伪造的请求;反之,攻击者将无法攻击成功。
RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密;是由一对密钥来进行加解密的过程,分别称为公钥和私钥。
这一对密钥之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。
通常个人保存私钥,公钥是公开的(可能同时多人持有)。
之前讲过 RSA 公钥加密算法,这里我们研究下原理。
XSS是指跨站脚本攻击。是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。
静态站点完全不受XSS的影响。
恶意攻击者会在Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
恶意用户利用xss 代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容。
产生层面一般都是在前端,JavaScript代码能干什么,执行之后就会达到相应的效果
比如说php中的脚本的输出函数。
常见的输出函数有:print、print_r、echo、printf、sprintf、die、var_dump、var_export。
从浏览网站到网上银行交易,每天都有数十亿次数据交换通过互联网进行。
然而,这些数据很容易受到中间人(MITM)攻击,即攻击者拦截并可能更改双方之间传输的数据。
这就是TLS发挥作用的地方。
通过加密数据和建立安全连接,TLS 可以有效防止 MITM 攻击,确保敏感信息的私密性和不可篡改性。
当攻击者在用户和服务器等双方不知情的情况下截获他们之间的通信时,就会发生中间人(MITM)攻击。
攻击者可以监听、篡改甚至操纵通信,以窃取登录凭证、个人数据或财务细节等敏感信息。
MITM 攻击有多种形式,包括: