CSRF跨站请求伪造攻击
第三方攻击者诱骗受害者向网站服务器以自己的身份发起非法请求
举例,在网页登网银需要填写一些参数来进行转账
浏览器如何向服务器提交参数?
1、GET:把客户端的信息在URL中提交
https://www.baidu.com/s?wd=某公司&rsv_s
?前面是你要访问的地址,?后面是你本地浏览器提交的参数 wd=某公司 关键字
服务器会检查当前提交转账请求的客户端的用户是否处于登陆状态,但是,如果张三正在登网银,他的微信好友李四给他发恶意链接包含了张三转账请求(短网址生成器),那李四转账成功
2、Post:把客户端的信息在表单中提交至服务器
支付密码等敏感信息会封装在数据包中进行传递,会有转账信息填写页面,信息填写完进入转账请求页面,在进入转账请求页面之前会检查web请求的referer字段(告诉服务器我是从哪里点进去的),使用随机token令牌,用户每请求一次,服务器都会随机产生字符串作为token令牌,下次请求我必须带上令牌
僵尸网络
黑客抓了很多肉鸡(一台完全被黑客入侵的PC)组成的网络叫僵尸网络
举例,早期XP系统配置都比较低,中了木马能感觉到电脑变慢;现在电脑配置高4核6核8G.16G跑个小木马无感知 长达半年自身都不知道,并且可以每天看他在干什么,被肉鸡的电脑要主动运行我的木马才能控制PC,服务器一般没人操作;搞个网站挂点病毒,中了木马就被我控制
(Botnet,亦译为丧尸网络、机器人网络)
是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,即黑客常说的僵尸电脑或肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。
组成:
1. 肉鸡
2. 黑客控制端
3. C/C服务器 用cc服务器做跳板来控制肉鸡 客户端/客户端 |