Rob*_*itt 5 php security hash logout
通常在 php 中处理注销哈希的方式是什么?
在很多网站上,通常有注销哈希来确认注销的用户是正确的用户,这通常是如何处理的?
例子
http://domain.com/user/logout/nil4ytwojytjwoytjwy5tw5
nil4ytwojytjwoytjwy5tw5是哈希
只是我的研究的更新,以便其他人可以看到这是如何工作的。
我发现这种类型的攻击主要用于 xero 字节图像和 iframe 等。
如果您登录到站点 A 并且您也在浏览站点 B,那么站点 B 可以放置一个图像标签:
<img src="http://SITE_A.com/logout/" width="1" height="1" style="display:none" />
并且因为请求实际上来自合法的登录用户,所以请求被处理。
通过在重要的表单中添加验证值,例如转账、注销等,黑客无法获取该值,因此请求将不会被执行!
谢谢你的帮助