Day 23
Day 23|CSRF 跨站請求偽造
昨日複習
Day 22|SSRF Impact 伺服器端請求偽造的影響
Attackers may access cloud metadata services through the vulnerable server.
正確答案 A. 攻擊者可能透過有弱點的伺服器存取雲端 metadata 服務
這句在描述:SSRF Impact(伺服器端請求偽造的影響)
看完整 Day 22 →今日句子
The application does not verify whether the request was intentionally submitted by the authenticated user.
中文意思
應用程式沒有驗證該請求是否由已驗證的使用者有意送出。
這句在說什麼資安問題
CSRF(Cross-Site Request Forgery,跨站請求偽造)
這句描述的是 CSRF(跨站請求偽造)。使用者已登入某網站,攻擊者誘導他打開惡意頁面,瀏覽器會自動帶上登入 cookie,幫使用者送出一個他根本不知情的請求。系統沒有驗證這個請求到底是使用者本人有意送的,還是被迫送的。
- 攻擊者誘導已登入銀行的使用者點連結,瀏覽器自動帶 cookie 送出轉帳請求
- 惡意頁面用隱藏的 <form> 自動送出「修改 email」的請求,使用者完全不知情
- 攻擊者在論壇貼出 <img src='https://target.com/delete-account'> 觸發帳號刪除
重點單字
| 英文 | 中文 |
|---|---|
| does not verify | 沒有驗證 |
| whether | 是否 |
| intentionally submitted | 有意送出 |
| authenticated user | 已驗證的使用者 |
練習題
Attackers may trick authenticated users into submitting unwanted requests.
💡 trick authenticated users into submitting unwanted requests(誘騙已驗證使用者送出非預期請求)正是 CSRF 的核心手法——攻擊者不需要知道使用者的密碼,只要讓瀏覽器帶著登入狀態送出請求就夠了。