Cross-Site Request Forgery
本实验仅供学习目的,请勿将所学知识用于非法用途!
CSRF(跨站请求伪造)是一种攻击方式,攻击者诱导已登录用户访问恶意页面,利用用户的身份执行非预期操作。
1. 用户登录银行网站,获得 Session
2. 用户访问攻击者的钓鱼页面
3. 钓鱼页面自动发送转账请求
4. 浏览器自动携带 Cookie
5. 银行服务器认为是用户本人操作
6. 转账成功,用户损失资金!通过 img/script 标签发起请求
通过隐藏表单自动提交
诱导用户点击恶意链接
登录银行账户,体验正常的转账流程
准备模拟攻击者的钓鱼页面,发起 CSRF 攻击
核心学习 CSRF Token 防护机制
防御| 角色 | 用户名 | 密码 | 初始余额 |
|---|---|---|---|
| 受害者 | victim | 123456 | ¥10,000 |
| 攻击者 | hacker | hack | ¥0 |