← 回到練習列表 加入 LINE 社群
Day 23

Day 23|CSRF 跨站請求偽造

昨日複習

Day 22|SSRF Impact 伺服器端請求偽造的影響

Attackers may access cloud metadata services through the vulnerable server.

正確答案 A. 攻擊者可能透過有弱點的伺服器存取雲端 metadata 服務

這句在描述:SSRF Impact(伺服器端請求偽造的影響)

看完整 Day 22 →

今日句子

The application does not verify whether the request was intentionally submitted by the authenticated user.

中文意思

應用程式沒有驗證該請求是否由已驗證的使用者有意送出。

這句在說什麼資安問題

CSRF(Cross-Site Request Forgery,跨站請求偽造)

這句描述的是 CSRF(跨站請求偽造)。使用者已登入某網站,攻擊者誘導他打開惡意頁面,瀏覽器會自動帶上登入 cookie,幫使用者送出一個他根本不知情的請求。系統沒有驗證這個請求到底是使用者本人有意送的,還是被迫送的。

  • 攻擊者誘導已登入銀行的使用者點連結,瀏覽器自動帶 cookie 送出轉帳請求
  • 惡意頁面用隱藏的 <form> 自動送出「修改 email」的請求,使用者完全不知情
  • 攻擊者在論壇貼出 <img src='https://target.com/delete-account'> 觸發帳號刪除

重點單字

英文中文
does not verify 沒有驗證
whether 是否
intentionally submitted 有意送出
authenticated user 已驗證的使用者

練習題

Attackers may trick authenticated users into submitting unwanted requests.

ASQL Injection
BCSRF
CInformation Disclosure
DPrivilege Escalation
💡 trick authenticated users into submitting unwanted requests(誘騙已驗證使用者送出非預期請求)正是 CSRF 的核心手法——攻擊者不需要知道使用者的密碼,只要讓瀏覽器帶著登入狀態送出請求就夠了。