PHP 빈틈 풀 기 (5) - 크로스 사이트 위조 요청

2416 단어 PHP
크로스 사이트 요청 포 제 리 스 (Cross Site Request Forgeries) 는 웹 사 이 트 를 넘 어 위 조 를 요청 한 다 는 뜻 으로 XSRF 라 고도 쓰 여 있다.공격 자 는 대상 사용자 의 HTTP 요청 을 위조 한 후 이 요청 을 CSRF 구멍 이 있 는 사이트 로 보 냈 고, 사이트 에서 이 요청 을 실행 한 후 크로스 오 버 요청 으로 위조 공격 을 일 으 켰 다.공격 자 는 은밀 한 HTTP 연결 을 이용 하여 목표 사용자 가 주의 하지 않 은 상태 에서 이 링크 를 클릭 하도록 한다. 사용자 가 스스로 클릭 한 것 이 고 합 법 적 인 사용자 가 합 법 적 인 권한 을 가지 기 때문에 목표 사용 자 는 사이트 에서 특정한 HTTP 링크 를 실행 하여 공격 자의 목적 을 달성 할 수 있다.
예 를 들 어 한 쇼핑 몰 에서 상품 을 구 매 할 때 http://www.shop.com/buy.php?item=watch&num=1, item 매개 변 수 는 어떤 물건 을 구 매 할 지, num 매개 변 수 는 구 매 수량 을 확정 하고 공격 자가 숨겨 진 방식 으로 목표 사용자 에 게 링크 를 보 내 면 목표 사용자 가 부주의 로 방문 한 후에 구 매 수량 은 1000 개가 된다.
인 스 턴 스 랜 덤 네트워크 PHP 게시판 V 1.0 댓 글 임의로 삭제
//delbook.php          

include_once("dlyz.php"); //dlyz.php      ,    admin          
include_once("../conn.php"); 
$del=$_GET["del"]; 
$id=$_GET["id"]; 
if ($del=="data") 
{ 
    $ID_Dele= implode(",",$_POST['adid']); 
    $sql="delete from book where id in (".$ID_Dele.")"; 
    mysql_query($sql); 
} 
else 
{ 
    $sql="delete from book where id=".$id; //        ID 
    mysql_query($sql); 
} 
mysql_close($conn); 
echo ";

주: 본 고 는 수색 개 안전 편집 이 정리 하여 발표 하고 전재 할 때 출처 를 밝 혀 주 십시오.

좋은 웹페이지 즐겨찾기