本文探讨了HTTP Referer在防御CSRF攻击中的作用,介绍了如何通过stripos()函数验证Referer,并详细说明了DVWA中CSRF Medium等级的防御机制。接着,文章揭示了一种绕过Referer防御的方法,即通过创建含有目标IP的目录来欺骗stripos()函数,从而实现攻击。
1. http_referer是什么
HTTP Referer是header的一部分,当浏览器想web服务器发送请求的时候,一般都会带上referer,他是告诉服务器这个网页是从哪个链接过来的。因此服务器可以过得一些信息用户处理。
2. 用http_referer防御CSRF
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,会带上Referer,通过验证Referer,可以判断请求的合法性,如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。
web请求当中,服务器常常会通过stripos()函数对请求进行referer校对,校对成功执行请求,校对失败,则是非法操作。
2.1 stripos()函数介绍
stripos() 凼数作用:查找字符串在另一字符串中第一次出现的位置(不区分大小写)。stripos()凼数是不区分大小写的。
例:查找 “php” 在字符串中第一次出现癿位置:
<?php
echo stripos("You love php, I l
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
