含义 # csrf: 跨站请求伪造 (cross site request forgery),又称为 xsrf 攻击原理 # 表单提交场景下,在 evil.com 向 bank.com 提交表单,浏览器会携带 bank.com 的 cookie 过去 如果用户在 bank.com 已登录过且会话有效,则会提交成功 攻击者通常通过钓鱼邮件的方式攻击 如何预防 # xsrf token # bank.com 的页面里预埋 xsrf token,仅在当前页提交表单时会携带 token,从其他站点提交表单时,没有 token,则服务不信任 samesite cookie # 设置同站 cookie
图解 #
什么是安全通信 # 假定 Alice, Bob 为两个通讯实体,Trudy 为中间攻击人,如何保证 Alice 和 Bob 能进行安全通信 ? Confidentiality # 数据的机密性,即只有通信双方可以知道通信内容 Integrity # 消息完整性 Data Integrity # Alice 发的消息没有被篡改 Originality # Bob 收到的消息确实是 Alice 发的 Timeliness # Authentication # 通信侧的身份认证 网络中一个实体向另一个实体证明他的身份,服务端的身份认证,客户端的身份认证,Alice 证明她就是 Alice Thread Model # 攻击者如何破坏通信安全 窃听 # 嗅探,记录信道通信报文 篡改,插入,删除通信报文 Playback Attack # 攻击者把以前发过的消息又发了一遍 Suppress-replay Attack # 抑制-重放攻击 Cryptography # cryptography,密码学,网络安全的基石 ...