<ruby id="bdb3f"></ruby>

    <p id="bdb3f"><cite id="bdb3f"></cite></p>

      <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
        <p id="bdb3f"><cite id="bdb3f"></cite></p>

          <pre id="bdb3f"></pre>
          <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

          <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
          <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

          <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                <ruby id="bdb3f"></ruby>

                ThinkChat2.0新版上線,更智能更精彩,支持會話、畫圖、視頻、閱讀、搜索等,送10W Token,即刻開啟你的AI之旅 廣告
                ## CSRF攻擊案例 ### 本地網絡設備 CSRF 攻擊 一般情況下,外網不可以訪問交換機等內網硬件,如果想訪問內網設備,應該怎么辦呢 >注意,內網設備很多是默認密碼的 首先,模擬正常用戶身份登錄->開啟web管理端口的操作,用burp抓包后,抓取得到地址為 ``` <img src=http://192.168.1.1/userRpm/ManageControlRpm.htm?port=80&ip=255.255.255.255&Save=%B1%A3+%B4%E6> ``` 將這個攻擊代碼插入到想插入的地方,欺騙對方企業訪問這個地址,訪問之后對方設備的遠程web管理端口就打開了 >這段攻擊代碼三個功能,先開啟80端口,把遠程web管理IP地址改成255.255.255.255,保存 ### CSRF自解壓案例 將攻擊代碼嵌入到rar壓縮軟件的自解壓選項中,用戶點擊這個壓縮軟件后,自動解壓過程中,就觸發了惡意代碼 >補充: >在做免殺的時候也可以使用這個功能做自解壓木馬干掉殺毒軟件 >可以把一個木馬進行拆分 >先把注冊表導入形式拆分 >內存部分再拆分 >啟動項拆分導入形式 >最后加一個自動.exe形式 ### burp 添加管理員賬號 網站開源情況下,找到添加管理員賬號的代碼,模擬出添加管理員的數據包,再進行修改,只需要把地址改成要攻擊網站,嵌入到惡意程序,誘騙管理員在管理狀態中觸發 ### 小結 CSRF的攻擊門檻不是很高,但是這種攻擊一定是基于會話,也就是需要遇害者在登錄狀態下執行惡意代碼,這也就要求我們將CSRF與其他攻擊手法相結合,構造攻擊代碼+釣魚執行代碼 ## CSRF 漏洞防御 1. referer : 使用嚴格的Referer驗證策略來防御登陸CSRF,因為登陸的表單一般都是通過HTTPS發送,在合法請求里面的Referer都是真實可靠的。通過referer判斷頁面來源進行CSRF防護,該方式無法防止站內CSRF攻擊及referer字段偽造。 2. token: 通過token方式進行CSRF防護,在服務器端對比POST提交參數的token與Session中綁定的token是否一致。 3. origin: 對于更長遠的建議,我們希望能用Origin字段來替代Referer,因為這樣既保留了既有效果,又尊重了用戶的隱私。 最終要廢除利用token來防御CSRF的方式,因為這樣網站就可以更好的保護無論是HTTP還是HTTPS請求,而不用擔心token是否會泄露。 4. 業務上 驗證碼: 重要功能點使用動態驗證碼進行CSRF防護 原密碼: 對于修改密碼操作,推薦附加上原密碼的驗證 白名單: 對于那些有特定跨站需求的請求,網站應該建立一份白名單,比如主頁等。 5. 校驗請求 嚴格區分好 POST 與 GET 的數據請求
                  <ruby id="bdb3f"></ruby>

                  <p id="bdb3f"><cite id="bdb3f"></cite></p>

                    <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
                      <p id="bdb3f"><cite id="bdb3f"></cite></p>

                        <pre id="bdb3f"></pre>
                        <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

                        <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
                        <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

                        <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                              <ruby id="bdb3f"></ruby>

                              哎呀哎呀视频在线观看