[課業] XSS和CSRF 不同

看板Examination (國家考試)作者 (找不到家的人)時間12年前 (2013/11/20 11:08), 編輯推噓2(209)
留言11則, 3人參與, 最新討論串1/1
大家好 跨站腳本攻擊(Cross-Site Scripting ,XSS)和跨站請求偽造 (Cross-Site Request Forgery ,CSRF)有甚麼不同嗎? 兩者好像,但我卻分不出來他的差異 我有稍微GOOGLE做一下功課,大家都說一個是對網站本身的信任,一個是對瀏覽器的信任 但還是不清楚差在哪裡,麻煩高手解答,謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.124.181.15

11/20 18:01, , 1F
簡單說 XSS是onload就受攻擊 XSRF是使用者無知觸發
11/20 18:01, 1F

11/20 18:01, , 2F
所以XSRF才有one click attack的別稱
11/20 18:01, 2F

11/20 23:33, , 3F
樓上意思是XSS是駭客直接在留言板之類上寫下Script
11/20 23:33, 3F

11/20 23:33, , 4F
使用者一瀏覽到這個留言板網頁就會直接觸發
11/20 23:33, 4F

11/20 23:35, , 5F
CSRF是例如一個網頁URL www.xx.tw/set_admin.php可以
11/20 23:35, 5F

11/20 23:35, , 6F
讓已登入的網頁管理員將一般使用者改為管理者權限
11/20 23:35, 6F

11/20 23:36, , 7F
那駭客知道此網站有設定自動登入,且管理員為甲
11/20 23:36, 7F

11/20 23:36, , 8F
他就寄個連結www.xx.tw/set_admin.php?id=123給甲
11/20 23:36, 8F

11/20 23:37, , 9F
甲一點擊連結就會連回去自動登入的網站然後觸發
11/20 23:37, 9F

11/20 23:38, , 10F
把id為123的人設為管理者,駭客就有管理員權限了
11/20 23:38, 10F

11/21 11:04, , 11F
感謝各位大大的講解,謝謝
11/21 11:04, 11F
文章代碼(AID): #1IZ2UkEw (Examination)
文章代碼(AID): #1IZ2UkEw (Examination)