欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

PHP漏洞全解五-跨网站请求伪造

程序员文章站 2022-04-14 07:57:11
...
CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。

例如:
某个购物网站购买商品时,采用http://www.shop.com/buy.php?item=watch&num=1,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接,那么如果目标用户不小心访问以后,购买的数量就成了1000个

实例
随缘网络PHP留言板V1.0
任意删除留言

//delbook.php 此页面用于删除留言include_once("dlyz.php"); //dlyz.php用户验证权限,当权限是admin的时候方可删除留言 include_once("../conn.php"); 
$del=$_GET["del"]; 
$id=$_GET["id"]; 
if ($del=="data") 
{ 
    $ID_Dele= implode(",",$_POST['adid']); 
    $sql="delete from book where id in (".$ID_Dele.")"; 
    mysql_query($sql); 
} 
else{ 
    $sql="delete from book where;

注:本文由搜狗安全编辑整理发布,转载请注明出处。

').addClass('pre-numbering').hide(); $(this).addClass('has-numbering').parent().append($numbering); for (i = 1; i ').text(i)); }; $numbering.fadeIn(1700); }); });

以上就介绍了PHP漏洞全解五-跨网站请求伪造,包括了漏洞方面的内容,希望对PHP教程有兴趣的朋友有所帮助。