gpt4 book ai didi

asp.net-mvc - CRSF 和 SSL 证书

转载 作者:太空宇宙 更新时间:2023-11-03 14:39:52 25 4
gpt4 key购买 nike

考虑一个使用 HTTPS 协议(protocol)的网站。

使用 HTTPS 时,协议(protocol)是否使用证书来识别客户端?

如果某些黑客在进行CSRF后加密了cookie,他是否还需要有SSLl认证才能进一步使用?

如果没有SSL认证,黑客如何使用网站内的客户数据?

最佳答案

要发起 CSRF 攻击,黑客不需要知道证书或 cookie。 CSRF 攻击之所以有效,是因为浏览器会自动向服务器发送 cookie example.com ,如果任何网页包含<img src="https://example.com/">标签。

例如,example.com允许用户在其论坛上投票帖子。假设当用户点击“upvote”按钮时,它发送一个请求到https://example.com/vote.php?id=12345 .如果该网站不使用任何反 CSRF 技术,攻击者可以包含 <img src="https://example.com/vote.php?id=12345>"在他的网站上标记 https://evil.com .然后,如果登录到 example.com 的用户以后访问https://evil.com在同一个浏览器中,他会在没有任何通知的情况下对该帖子投赞成票。

我猜你混淆了 man-in-the-middle (MITM) 攻击和 CSRF 攻击,这是完全不同的。当你说

if he does not get it he gets an encrypted cookie , how can he have farther use of this cookie without having this certification ?

您描述了 MITM 攻击。 MITM 攻击者拦截用户和服务器之间的流量。他们试图记录以明文形式发送的 cookie,并使用 cookie 来验证自己。 HTTPS 已经可以防止此类攻击。攻击者无法解密 HTTPS 流量。

关于asp.net-mvc - CRSF 和 SSL 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44121484/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com