通常用php处理注销哈希的方式是什么?

在许多站点上,通常会使用注销哈希值来确认要注销的用户是正确的用户,通常如何处理?

例子

http://domain.com/user/logout/nil4ytwojytjwoytjwy5tw5

nil4ytwojytjwoytjwy5tw5 是哈希

只是我的研究更新,以便其他人可以看到它是如何工作的。

我发现这种攻击主要用于xero-byte图片和iframe。

如果您登录了SITE A并且还浏览了SITE B,则SITE B可以放置图片标签:
<img src="http://SITE_A.com/logout/" width="1" height="1" style="display:none" />

并且由于该请求实际上来自合法的登录用户,因此该请求得到了处理。

通过将验证值添加到重要形式(例如转账帐户,注销等)中,黑客无法获取该值,因此将无法执行该请求!

谢谢你的帮助

最佳答案

这是Stop CSRF。该值是“csrf token ”,它是存储为 session 变量的加密随机数(随机数)。进行检查以确保该请求源自同一站点,而不是来自攻击者的站点。

10-07 19:28
查看更多