我将通过 2007 年和 2010 年的OWASP前10名列表。
我偶然发现了跨站点请求伪造(CSRF),这通常被称为会话骑行,因为您让用户使用他的会话来满足您的愿望。
现在对此的解决方案是向每个 url 添加一个令牌,并为每个链接检查这个令牌。
例如,要对产品 x 进行投票,网址将是:
'http://mysite.com?token=HVBKJNKL'
这看起来像是一个可靠的解决方案,因为黑客无法猜测令牌。
但我在考虑以下场景(我不知道是否可能):
您创建一个带有隐藏 iFrame 或 div 的网站。之后,您可以使用普通的 iFrame 或 ajax 在其中加载我的网站。
当您将我的网站加载隐藏在您的网站内,并且用户有一个存储的会话时,可以执行以下操作。您可以从 URLS 中检索令牌,并且仍然执行所有需要的操作。
有没有可能做这样的事情。或者不可能做这个跨域。
您所描述的攻击明显违反了同源策略。, iframe 不会以这种方式继承权限。已发现许多绕过同源策略的方法。解决这些问题的唯一方法是人们提出这样的问题。我敦促您尝试编写代码来绕过该问题,即使它失败了。最坏的情况是你会学到一些重要的东西,最好的情况是你会发现一个问题,把它发布到bugtraq,然后开个派对:)。哦,每个人都会更安全地修复错误。
XSS can be used to bypass the protection provided by the Same Origin Policy for a specific vulnerable site. An XSS vulnerability can be used to read the XSRF token using XmlHttpRequest. Here is an exploit that wrote that does this.
这种情况不太可能,因为虽然他们可以构建到http://mysite.com,但他们需要令牌才能将其构建到http://mysite.com?token=HVBKJNKL。如果他们有令牌,那么无论如何你都不安全。