关于云端点赞想到了csrf攻击

ufcmma · 发表于 2021-10-19 16:15:03

csrf官方解释请自行百度，我举个例子科普下

假如论坛修改密码的请求是/password.php?new=xxx

如果你要修改密码，那么需要你登录论坛，然后服务器验证了cookie才能修改，如果没有登录，访问这个链接是没有用的

一天我装了某插件，大家也没有审计过源码，然后作者某天更新了插件代码，在里面用js加了一句

fetch("/password.php?new=123")

你打开了论坛，然后密码就被修改了

原理就是这个请求是通过你自己浏览器去发送的，带了你的cookie，然而你并不知道

那么到了那天之后，所有用插件的人的密码都被修改为123

解决办法就是审计源码，或者谨慎使用

hooper · 发表于 2021-10-19 16:39:35

CSRF-Cross-site request forgery；建议学习下什么是跨站；就是在loc伪造你在隔壁站的请求；另外，你说的情况确实可以实现，脚本是基于信任安装的；你请的杀手帮你报仇，杀手同样能把你杀掉，风险和收益是自己权衡的，另外，没人强迫你安装，顶论坛大师，超方便！

nnt · 发表于 2021-10-19 16:18:50

CSRF是跨站请求伪造，论坛大师是运行在用户浏览器的油猴插件上的，不属于此范畴。

By小酷 · 发表于 2021-10-19 16:19:44

ufcmma 发表于 2021-10-19 16:19
只是举个例子，证明他可以通过前端伪造你的请求

比如自杀代码

ufcmma · 发表于 2021-10-19 16:17:21

HOH 发表于 2021-10-19 16:16
人家不需要你cookie，下发指令由用户端执行就可以了

你没看懂就算了，我说的就是你想的那个意思

HOH · 发表于 2021-10-19 16:16:26

人家不需要你cookie，下发指令由用户端执行就可以了

haimianbaobao · 发表于 2021-10-19 16:17:23

提示: 作者被禁止或删除内容自动屏蔽

药丸 · 发表于 2021-10-19 16:17:28

改密码不需要原始密码？

吃花椒的喵酱 · 发表于 2021-10-19 16:17:51

提示: 作者被禁止或删除内容自动屏蔽

ufcmma · 发表于 2021-10-19 16:19:01

药丸发表于 2021-10-19 16:17
改密码不需要原始密码？

只是举个例子，证明他可以通过前端伪造你的请求

inighty · 发表于 2021-10-19 16:21:26

这样的风险你装的所有脚本都可以给你带来。只是这个脚本让你引起了注意罢了。

		自动登录	找回密码
密码			注册

haimianbaobao haimianbaobao 当前离线积分 1242	4^# 发表于 2021-10-19 16:17:23 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
haimianbaobao haimianbaobao 当前离线积分 1242
	回复支持反对举报

吃花椒的喵酱吃花椒的喵酱当前离线积分 3045	6^# 发表于 2021-10-19 16:17:51 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
吃花椒的喵酱吃花椒的喵酱当前离线积分 3045
	回复支持反对举报

关于云端点赞想到了csrf攻击

点评