CSRF 核心原理与攻击模型

渗透

CSRF核心原理与攻击模型1.攻击本质CSRF利用用户浏览器的"信任状态"（已登录目标网站），通过诱导用户访问恶意页面，使其浏览器自动向目标网站发送用户本无意发起的请求。核心逻辑是：攻击者不直接获取用户凭证，而是利用浏览器自动携带Cookie的机制。2.攻击三要素用户已登录目标网站：Cookie有效且未过期。浏...

2026-05-22 19:18:23 14

xss

渗透

[TOC]XSS概述跨站脚本攻击（Cross-SiteScripting，简称XSS）是Web应用中最普遍、最易被忽视的安全漏洞之一，长期位列OWASPTop10（2021年归类于“注入类漏洞”）。其核心原理是：攻击者将恶意JavaScript代码注入到Web页面中，当用户访问该页面时，浏览器会执行注入的脚本，从而实现窃取C...

2026-05-15 12:22:46 39

sql注入

渗透

SQL注入SQL注入概述SQL注入（SQLInjection）是Web应用中最危险、最常见的安全漏洞之一，属于OWASPTop10长期上榜风险。攻击者通过将恶意SQL代码注入到应用程序的输入参数（如URL参数、表单提交、HTTP头部等），利用应用程序对用户输入的“未过滤/未转义”缺陷，篡改后台SQL查询逻辑，使数...

2026-05-03 13:49:15 35