CSRF自动检测思路
1.CSRF漏洞的介绍和危害性
CSRF(Cross-site request forgery跨站请求伪造)通常缩写为CSRF或者XSRF。CSRF使黑客可以冒充合法用户的身份,使合法用户在不知情的情况下触发如金融支付,发表微博等危险操作,并可直接导致蠕虫,危害巨大,从2007年至今,CSRF漏洞已连续几年位于OWASP统计的十大Web安全漏洞前列。具体利用过程如图1-1所示。
攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。举一个简单的例子,例如:用户A在自己的博客站点中写了一篇文章C,用户B在回复中贴了一张图,在贴图的URL中写入删除文章C的链接,当A看见这张图片的时候,文章C便被不知不觉间删除了。这就是CSRF攻击了。