返回
web安全实践(15)csrf(跨站请求伪造)

web安全实践(15)csrf(跨站请求伪造)

ID:9500283

大小:63.50 KB

页数:9页

时间:2018-05-01

web安全实践(15)csrf(跨站请求伪造)_第1页
web安全实践(15)csrf(跨站请求伪造)_第2页
web安全实践(15)csrf(跨站请求伪造)_第3页
web安全实践(15)csrf(跨站请求伪造)_第4页
web安全实践(15)csrf(跨站请求伪造)_第5页
资源描述:

《web安全实践(15)csrf(跨站请求伪造)》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、Web安全实践(15)CSRF(跨站请求伪造)15.1从校内说起  (一)简单效果  话说校内网目前俨然是中国第一大学生社交网站了,它的安全性也是从最初的一塌糊涂越变越好。客户端验证也从最初可以添加任意代码(html,css,script)到现在的只允许css,而且过滤了关键字,进行服务器端验证。。。使用校内的过程中真的学到了不少知识。偶尔在校内写写日志,难免会注意它的编辑器。  这就是编辑器的全部功能。它不允许查看源代码,当然这不是问题,因为我们知道日志的呈现结果必须是html代码的。随便找个在线编辑器就可以编辑了,然后把编辑后

2、的内容贴过来就好了。不过校内做的还不错,对贴过来的内容也做了过滤,我试着添加script结果都在服务器端被过滤掉了。不知不觉给校内做了个广告。。。下面看我发的一篇日志吧:  题目:我的处男生涯  你来了,  你真的来了,  但你想走的时候。。。。  已经晚了。。。    校内来访问我日志的人,在想离开的时候发现跳到了这个页面:  不明白的还纳闷?怎么退出来了。。。明白的已经在骂我了。惨啊!估计挨了不少骂。  (二)查看内幕  下面我们来简单分析下对这段简单的日志Accept-Language:zh-User-Agent:Mozil

3、la/4.0(patible;MSIE8.0;z=204579609.1240405279.155.23.utmc=(referral)

4、utmcsr=home.xiaonei.

5、utmcct=/Home.do

6、utmcmd=referral;_de=8EAD38BFFD04FDBE;id=201800742;mop_uniq_ckid=123.189.23.249_1238318098_149848619;_r01_=1;eNtcInf=0;notifyTips201800742=1;xiaonei_stage=20;xiaon

7、ei_guide_uid=201573034;__utmb=204579609;depovince=LN;XNESSESSIONID=c9da0fa7aff8;__utmc=204579609;userid=201573034;univid=5426;gender=1;univyear=2005;societyguester=a2ac4d18338093affb56d55a2b96c90a4;kl=b1f2731841d14040d19a6e3eda22a11a_201573034;hostid=201573034;jebecoo

8、kies=201573034

9、1

10、1985-1-5

11、20

12、0

13、5426_;xn_app_histo_201573034=6-26302-3-20706-23446-20-9999-21461-8-17954-17940-2  这一次请求返回了页面的基本html代码  (2)紧接着根据第一次请求获得的html代码分析里面的元素,对<imgsrc=Logout.do/>做了请求,目的是下载图片。GET/Logout.doHTTP/1.1Accept:image/gif,image/jpeg,image/pjpeg,imag

14、e/pjpeg,application/x-shocks-excel,application/vnd.ms-powerpo1234下一页友情提醒:,特别!int,application/mss-application,application/x-ms-xbap,application/vnd.ms-xpsument,application/xaml+xml,*/*Referer:GetEntry.do?id=379593678oa=204579609.347185043.1238318018.1240453421.12404565

15、37.158;__utmz=204579609.1240405279.155.23.utmc=(referral)

16、utmcsr=home.xiaonei.

17、utmcct=/Home.do

18、utmcmd=referral;_de=8EAD38BFFD04FDBE;id=201800742;mop_uniq_ckid=123.189.23.249_1238318098_149848619;_r01_=1;eNtcInf=0;notifyTips201800742=1;xiaonei_stage=20;xiaonei_guide_ui

19、d=201573034;depovince=LN;XNESSESSIONID=c9da0fa7aff8;__utmc=204579609;userid=201573034;univid=5426;gender=1;univyear=2005;soc

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。