Discuz! Board

 找回密碼
 立即註冊
搜索
熱搜: 活動 交友 discuz
查看: 110|回復: 0

个不同的令牌 那么资金转账的

[複製鏈接]

1

主題

1

帖子

5

積分

新手上路

Rank: 1

積分
5
發表於 2023-3-18 13:48:18 | 顯示全部樓層 |閱讀模式
如果攻击者不知道特定操作所需的所有正确输入参数 他们就无法成功进行 攻击 因此 网站可以通过要求攻击者无法弄清楚的输入来防止跨站点请求伪造攻击 这通常是通过某种类型的反 令牌来实现的 有多种方法可以实现这 点 但适用相同的粗略想法 让我们以我们在示例中用于启动资金转账的 请求为例 获取 在我们的示例中 攻击者可以通过添加自己的姓名和所需金额来成功将资金转入他们的帐户 如下所示 获取 但是 如果我们添加 个复杂到无法猜测的唯 数字怎么办 如果服务器每次为您提供网站服务时都创建了这样  请求现在可能看起。

来像这样 获取 如果每次向您提供网页时此唯 令牌都不同 攻击者将无法猜测请求的正确参数 就像他们在前面的示例中所做的那样 如果他们无法输入有效参数 服务器将不会接受请求 从而阻止攻击者转移资金或成功进行其他伪造请求 相同的基本 俄罗斯号码数据 逻辑适用于 请求 实施挑战和响应 另 种策略是通过质询和响应机制要求用户进 步参与 如果跨站点请求伪造的主要危险之 是它们是在没有用户参与的情况下发起的 那么 种解决方案是要求它们在服务器接受这些状态更改请求之前采取行动 这可以通过以下方式实现 验证码 次性令牌 要求用户再次输入密码 如果实施了这些额外的。



安全机制 跨站点请求伪造将触发用户在请求被批准之前输入上述输入之 在大多数情况下 用户会意识到发生了 些奇怪的事情 并停止伪造的请求而不是执行所需的操作 限制跨站点请求伪造 跨站点请求伪造是 种重大的在线威胁 但有 系列机制可以帮助缓解它们 如果您经营 个网站 您可以按照上面列出的策略来保护您的用户 虽然这看起来像是 个额外的麻烦 但保护它们免受攻击可能有助于您网站的长期成功 您会继续使用 个不费心保护您免受跨站点请求伪造的破坏性影响的站点吗勒索软件即服务 已成为网络犯罪分子中越来越流行的工具 我们揭示了什么是 以及如何避。

回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

本版積分規則

Archiver|手機版|小黑屋|DiscuzX

GMT+8, 2024-11-16 18:56 , Processed in 0.029112 second(s), 18 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表