【用戶】111郵專一,地特四資訊正
【年級】國三下
【評論內容】CSRF運作流程是使用者使用A網站未登出瀏覽B網站時,B網址發出A網址的請求由於A網站未登出,A網站以為是本人的操作而執行例如:付款操作,修改操作,刪除操作,新增操作等等通常搭配XSS一起,這樣使用者連點擊都不用,只要瀏覽網頁就中標所以加入驗證碼驗證需要人類識圖,無法只靠網址命令,故可有效防止CSRF攻擊這也算在OWASP TOP 10 2021 第一名(權限控制失效)之中最主要是因為可以僅透過網址獲得權限,所以不算在認證失效中
【用戶】111郵專一,地特四資訊正
【年級】國三下
【評論內容】CSRF運作流程是使用者使用A網站未登出瀏覽B網站時,B網址發出A網址的請求由於A網站未登出,A網站以為是本人的操作而執行例如:付款操作,修改操作,刪除操作,新增操作等等通常搭配XSS一起,這樣使用者連點擊都不用,只要瀏覽網頁就中標所以加入驗證碼驗證需要人類識圖,無法只靠網址命令,故可有效防止CSRF攻擊這也算在OWASP TOP 10 2021 第一名(權限控制失效)之中最主要是因為可以僅透過網址獲得權限,所以不算在認證失效中