跨站请求伪造: (CSRF,全称Cross-site request forgery),是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。
1.GET型
- 构造带有POC的网页:
password_new=pwd&password_conf=pwd&Change=Change#
POC:Proof Of Concept的缩写。在黑客圈指:观点验证程序。运行这个程序就可以得出预期的结果,也就验证了观点。
2.POST型
- 如果网站有添加管理员功能
- 客户访问带有POC的页面则添加了管理员账号
3.伪造方法
- 使用短链接来隐藏URL
- 构造有诱惑性的攻击页面
