国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

今天來(lái)說(shuō)說(shuō)“跨站請(qǐng)求偽造攻擊（Cross-site request forgery）"。

跨站請(qǐng)求偽造攻擊，簡(jiǎn)稱CSRF攻擊。與跨站腳本攻擊（Cross Site Scripting，簡(jiǎn)稱XSS）有點(diǎn)類似，其攻擊的核心要素都是“欺騙"。區(qū)別在于XSS竊取了用戶對(duì)網(wǎng)站的信任，CSRF則是竊取了服務(wù)器對(duì)用戶瀏覽器的信任。

（關(guān)于“跨站腳本攻擊"介紹，請(qǐng)點(diǎn)擊上方“收錄話題"進(jìn)行了解。）

較為典型的CSRF攻擊例如“銀行網(wǎng)站轉(zhuǎn)賬"攻擊，用戶登陸銀行A網(wǎng)站完成轉(zhuǎn)賬操作后，在瀏覽器“身份"信息未失效前，攻擊者通過(guò)某種手段誘使用戶打開CSRF攻擊B網(wǎng)站，此時(shí)B網(wǎng)站可以插入一條經(jīng)過(guò)特殊構(gòu)造的URL，其中包含A網(wǎng)站的地址與轉(zhuǎn)賬命令。而A網(wǎng)站的服務(wù)器此時(shí)檢測(cè)到剛剛轉(zhuǎn)完賬的用戶帶著“身份"信息又來(lái)了，系統(tǒng)會(huì)判定這是本人在操作，同意本次的交易請(qǐng)求。用戶在毫不知情的情況下，就被攻擊者利用本地信息轉(zhuǎn)走了存款。

CSRF造成的危害還有很多，攻擊者能夠“欺騙"受害用戶完成該受害者所允許的任一狀態(tài)改變的操作，比如：更新賬號(hào)細(xì)節(jié)、完成購(gòu)物、注銷甚至登錄等操作。CSRF攻擊雖然隱秘，但天融信Web應(yīng)用防火墻（TopWAF）防御CSRF攻擊有妙招！

大家都知道在HTTP報(bào)頭中有一個(gè)Referer字段，字段中記錄了HTTP請(qǐng)求的來(lái)源地址，正常情況下Referer字段應(yīng)和請(qǐng)求的地址位于同一域名下。但如果是CSRF攻擊傳來(lái)的請(qǐng)求，Referer攜帶的地址則會(huì)是CSRF攻擊網(wǎng)站的地址。

天融信Web應(yīng)用防火墻可通過(guò)驗(yàn)證用戶HTTP請(qǐng)求的Referer字段實(shí)現(xiàn)對(duì)CSRF攻擊進(jìn)行抵御。如果發(fā)現(xiàn)訪問網(wǎng)站的HTTP請(qǐng)求的Referer字段記錄的URL并非原網(wǎng)站的URL，則判定發(fā)送該HTTP請(qǐng)求的用戶可能遭受攻擊者的CSRF攻擊，根據(jù)CSRF策略的動(dòng)作處理該HTTP請(qǐng)求。

“道"高一尺，“魔"高一丈？

驗(yàn)證Referer字段過(guò)于依賴瀏覽器發(fā)送正確的Referer字段，同時(shí)無(wú)法保證用戶使用的瀏覽器沒有安全漏洞影響導(dǎo)致Referer字段被篡改。

“魔"高一尺，“道"高一丈！

天融信Web應(yīng)用防火墻可為用戶端設(shè)置一個(gè)偽隨機(jī)數(shù)作為驗(yàn)證的Token信息，Token信息會(huì)隨客戶端提交的請(qǐng)求頭傳輸?shù)椒?wù)器進(jìn)行校驗(yàn)，正常訪問時(shí)，客戶端瀏覽器可正常獲取并傳回此偽隨機(jī)數(shù)，而在CSRF攻擊中，攻擊者無(wú)法獲取此偽隨機(jī)數(shù)的值，天融信Web應(yīng)用防火墻就會(huì)因校驗(yàn)Token的值為空或者錯(cuò)誤，根據(jù)CSRF策略的動(dòng)作處理該HTTP請(qǐng)求。

作為的網(wǎng)絡(luò)安全企業(yè)，天融信多年來(lái)在技術(shù)上持續(xù)創(chuàng)新突破，持續(xù)為客戶Web站點(diǎn)安全提供更好的安方案，為客戶的Web應(yīng)用安全保駕護(hù)航。