CSRF进犯原理
CSRF(Cross-site requestforgery跨站恳求假造,原理进犯者经过伪装成受信赖用户向方针服务发送恳求完成进犯。
进犯进程如下:
生成cookie:用户A经过输入账号/暗码登录网站web1,此刻浏览器将登录状况记录到本地cookie中;
获取cookie:进犯中构建一条歹意网站web2的链接,受害者翻开歹意链接后,将把本地保存的cookie信息送到歹意网站web2;
假造进犯:网站web2经过收到的用户A的cookie值,向网站web1建议歹意恳求,例如转账付出,获取身份信息等意图。
使用到的东西:fiddler抓包东西,Jmeter
进犯过程
1,获取cookie值
登录网站,经过fiddler抓包东西,获取登录成功后的恳求头中的cookie值。我们必定古怪,分明拜访主页的时分就现已生成了cookie值,为什么还登录呢?尽管cookie值在翻开主页时就现已生成,但此刻的值未与详细用户相关,最多为游客的cookie值,因许多权限登录成功后才干拜访,只要登录成功后才会将cookie值与用户进行相关。A8站源码交易平台
2,完成CSRF进犯
1)在Jmeter中增加“HTTP Cookie管理器”;

填写cookie值,一般是JSESSIONID和域名;
2)增加进犯恳求
增加进行进犯的方针恳求地址和恳求参数;A8站源码交易平台
3)建议进犯
履行恳求,检查成果。
成功施行进犯。
A8站源码交易平台