立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 113|回复: 9

关于云端点赞想到了csrf攻击

[复制链接]

关于云端点赞想到了csrf攻击

[复制链接]

7

主题

29

回帖

127

积分

注册会员

积分
127
ufcmma

7

主题

29

回帖

127

积分

注册会员

积分
127
2021-10-19 16:15:03 | 显示全部楼层 |阅读模式
csrf官方解释请自行百度,我举个例子科普下

假如论坛修改密码的请求是/password.php?new=xxx

如果你要修改密码,那么需要你登录论坛,然后服务器验证了cookie才能修改,如果没有登录,访问这个链接是没有用的

一天我装了某插件,大家也没有审计过源码,然后作者某天更新了插件代码,在里面用js加了一句

fetch("/password.php?new=123")

你打开了论坛,然后密码就被修改了

原理就是这个请求是通过你自己浏览器去发送的,带了你的cookie, 然而你并不知道

那么到了那天之后,所有用插件的人的密码都被修改为123

解决办法就是审计源码,或者谨慎使用

回复

使用道具 举报

26

主题

484

回帖

2108

积分

金牌会员

积分
2108
nnt

26

主题

484

回帖

2108

积分

金牌会员

积分
2108
2021-10-19 16:18:50 | 显示全部楼层
CSRF是跨站请求伪造,论坛大师是运行在用户浏览器的油猴插件上的,不属于此范畴。


回复

使用道具 举报

297

主题

637

回帖

2843

积分

金牌会员

积分
2843
By小酷

297

主题

637

回帖

2843

积分

金牌会员

积分
2843
2021-10-19 16:19:44 | 显示全部楼层
"

比如自杀代码
回复

使用道具 举报

7

主题

29

回帖

127

积分

注册会员

积分
127
ufcmma 楼主

7

主题

29

回帖

127

积分

注册会员

积分
127
2021-10-19 16:19:00 | 显示全部楼层

HOH 发表于 2021-10-19 16:16

人家不需要你cookie,下发指令由用户端执行就可以了

你没看懂就算了,我说的就是你想的那个意思
回复

使用道具 举报

25

主题

9039

回帖

1万

积分

论坛元老

积分
19663
HOH

25

主题

9039

回帖

1万

积分

论坛元老

积分
19663
2021-10-19 16:17:21 | 显示全部楼层
人家不需要你cookie,下发指令由用户端执行就可以了
回复

使用道具 举报

12

主题

123

回帖

660

积分

高级会员

积分
660
haimianbaobao

12

主题

123

回帖

660

积分

高级会员

积分
660
2021-10-19 16:16:00 | 显示全部楼层
@论坛大师 马上到
回复

使用道具 举报

0

主题

86

回帖

290

积分

中级会员

积分
290
药丸

0

主题

86

回帖

290

积分

中级会员

积分
290
2021-10-19 16:16:26 | 显示全部楼层
改密码不需要原始密码?
回复

使用道具 举报

50

主题

373

回帖

1376

积分

金牌会员

积分
1376
吃花椒的喵​酱

50

主题

373

回帖

1376

积分

金牌会员

积分
1376
2021-10-19 16:17:23 | 显示全部楼层
这就是攻击啊 哪有改服务端数据的道理 就靠这个功能送开发者三年免费饭没问题 罪名就是破坏计算机系统
回复

使用道具 举报

7

主题

29

回帖

127

积分

注册会员

积分
127
ufcmma 楼主

7

主题

29

回帖

127

积分

注册会员

积分
127
2021-10-19 16:17:28 | 显示全部楼层

药丸 发表于 2021-10-19 16:17

改密码不需要原始密码?

只是举个例子,证明他可以通过前端伪造你的请求
回复

使用道具 举报

15

主题

287

回帖

925

积分

高级会员

积分
925
inighty

15

主题

287

回帖

925

积分

高级会员

积分
925
2021-10-19 16:17:51 | 显示全部楼层
这样的风险 你装的所有脚本都可以给你带来。 只是这个脚本让你引起了注意罢了。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-12-23 14:09 , Processed in 0.024317 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表