当我使用 ZAP 扫描特定 Web 应用程序时,它显示提到该站点具有"没有 SameSite 属性的 Cookie",我读到我们可以针对此漏洞执行 CSRF 攻击。谁能向我解释如何做到这一点?
CSRF 攻击是通过向受害者提供带有隐藏参数的链接来完成的,并希望他在浏览器中同时为目标网页提供仍处于活动状态的会话时激活该链接。 它可能会导致用户不想要的操作。
使用相同网站标志的 Cookie 可以降低这种风险,因为浏览器仅在给定某些条件时才发送它。
查看朴茨威格学院的简单示例
请注意,CSRF 攻击是不合法的。如果您只想了解该主题,则必须使用自己的网页和自己的cookie进行尝试。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium