关于云端点赞想到了csrf攻击

ufcmma · 2021-10-19 16:15:03

csrf官方解释请自行百度，我举个例子科普下

假如论坛修改密码的请求是/password.php?new=xxx

如果你要修改密码，那么需要你登录论坛，然后服务器验证了cookie才能修改，如果没有登录，访问这个链接是没有用的

一天我装了某插件，大家也没有审计过源码，然后作者某天更新了插件代码，在里面用js加了一句

fetch("/password.php?new=123")

你打开了论坛，然后密码就被修改了

原理就是这个请求是通过你自己浏览器去发送的，带了你的cookie，然而你并不知道

那么到了那天之后，所有用插件的人的密码都被修改为123

解决办法就是审计源码，或者谨慎使用

nnt · 2021-10-19 16:18:50

CSRF是跨站请求伪造，论坛大师是运行在用户浏览器的油猴插件上的，不属于此范畴。

By小酷 · 2021-10-19 16:19:44

"

比如自杀代码

ufcmma · 2021-10-19 16:19:00

HOH 发表于 2021-10-19 16:16

人家不需要你cookie，下发指令由用户端执行就可以了
你没看懂就算了，我说的就是你想的那个意思

HOH · 2021-10-19 16:17:21

人家不需要你cookie，下发指令由用户端执行就可以了

haimianbaobao · 2021-10-19 16:16:00

@论坛大师马上到

药丸 · 2021-10-19 16:16:26

改密码不需要原始密码？

吃花椒的喵酱 · 2021-10-19 16:17:23

这就是攻击啊哪有改服务端数据的道理就靠这个功能送开发者三年免费饭没问题罪名就是破坏计算机系统

ufcmma · 2021-10-19 16:17:28

药丸发表于 2021-10-19 16:17

改密码不需要原始密码？
只是举个例子，证明他可以通过前端伪造你的请求

inighty · 2021-10-19 16:17:51

这样的风险你装的所有脚本都可以给你带来。只是这个脚本让你引起了注意罢了。

		立即注册	自动登录	找回密码
密码			立即注册