forgery

A1. 跨网站的入侵字串(Cross Site Scripting，简称XSS，亦称为跨站脚本攻击)：Web应用程序直接将来自使用者的执行请求送回浏览器执行，使得攻击者可撷取使用者的Cookie或Session资料而能假冒直接登入为合法使用者。 A5. 跨网站的伪造要求 (Cross-Site Request Forgery，简称CSRF): 已登入Web应用程序的合法使用者执行到恶意的HTTP指令，但Web应用程序却当成合法需求处理，使得恶意指令被正常执行，案例包括社交网站分享的 QuickTime、Flash影片中藏有恶意的HTTP请求。

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种互联网安全漏洞，它可以使攻击者利用受害者的已登录状态发送恶意请求。攻击者可以伪装成受害者的身份执行某些操作，例如更改密码、发表评论、转移资金等等。 攻击者通常会利用受害者在已登录状态下访问恶意站点，这个站点会包含一些诱导受害者访问的恶意代码

介绍CSRF漏洞如何对路由器内的设定进行修改，将路由器的DNS服务器修改为攻击者所伪造的DNS服务器，使受害者上网的行为暴露在攻击者的监控之下，并且介绍使用者如何避免路由器提拱的服务成为攻击者成功攻击的受害者。 路由器为了方便使用者设定参数，提供了以网页形式来设定参数，这也导致了路由器本身具有沦为CSRF攻击目标的风险，Cross-Site Request Forgery (CSRF) 是一种常见的网页攻击手法，透过将使用者使用网络时并未登出或仍持有Session、Cookie等身份验证，再将使用者引导至恶意网站上，让使用者在保持身份已验证过的状态下去执行损害自身利益的事[2]，在路由器上则是会出现参数被攻击者随意修改的风险，除了会泄露出使用者的个人资料以外，也可能会成为攻击者监视的对象，更进一步可能会被伪造封包进行非法行为。 在网络上人们是透过token，一种可以作身份证明的字节，除了证明使用者是具由权限去从事符合权限的事，也代表使用这个token的人只会是使用者，当使用者触发攻击者设下的攻击指令时，攻击指令会透过使用者尚未登出的 token 来绕过认证，借此在路由器上修改设定，进一步将DNS设为伪造的DNS，攻击者透过伪DNS来对使用者所发出的封包进行监控，更进一步的可以对封包进行修改

新浪游戏讯 由KONAMI制作，首款预定于Xbox上推出的著名系列最新作《恶魔城 黑暗的诅咒(Castlevania Curse of Darkness)》，日前公布了多张Xbox版游戏画面。 以吸血鬼之王德古拉(Dracula)为题材的《恶魔城》，是KONAMI的经典名作之一，自 1986 年在任天堂红白磁盘机推出至今已有19年，期间于各平台推出多达十余款作品。 不同于以贝尔蒙特(Belmont)家族角色为主角的传统系列作，本代将由与贝尔蒙特家族无关、出身德古拉麾下的恶魔锻造师赫克特(Hector)为主角，游戏也以沉重黑暗的“复仇”为主轴