第二轮学习笔记:CSRF跨站请求伪造漏洞

简介: 第二轮学习笔记:CSRF跨站请求伪造漏洞

xss直接盗取了用户的权限,利用获取的cookie登录后台,在进行进一步操作。

csrf是借助用户的权限完成攻击,伪造一个攻击的链接,让用户在登录状态下点击此链接,从而达到攻击的目的。

一、漏洞可能存在的地方

1、站点的增删改查处;

2、cookie的有效期较长的

二、漏洞利用

1、 http://192.168.1.129/dvwa/vulnerabilities/csrf/,该页面存在漏洞,输入原始密码,及要修改的密码

image.png

2、打开burpsuite,抓包,将找到修改密码的包发送到重发器

image.png

3、右击,选择相关工具–》csrf poc生成

image.png

4、点击浏览器测试,复制生成的网址并在浏览器打开

image.png

5、退出DVWA,重新登录,发现密码已经修改为123456,测试成功

6、点击上面复制HTML,然后新建一个html文件,把内容粘贴进去并重新设定密码为password,然后用浏览器打开该文件,点击按钮

image.png

7、直接跳转到修改密码的页面,登出验证,发现密码又被修改回来了。

image.png

禁止非法,后果自负

目录
打赏
0
0
0
0
115
分享
相关文章
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
|
5月前
|
Web安全-CSRF跨站请求伪造
Web安全-CSRF跨站请求伪造
136 4
Web漏洞挖掘:XSS与CSRF防护策略
【7月更文挑战第11天】XSS和CSRF作为Web应用中常见的安全漏洞,对系统安全构成了严重威胁。通过实施上述防护策略,可以有效减少这些漏洞的风险。然而,Web安全攻防是一个持续不断的过程,开发者需要持续关注应用的安全性,更新和修补安全漏洞,同时加强自身的安全意识和防范技能,以确保Web应用的安全性和稳定性。
跨域问题与Django解决方案:深入解析跨域原理、请求处理与CSRF防护
跨域问题与Django解决方案:深入解析跨域原理、请求处理与CSRF防护
什么是 CSRF 攻击?如何启用 CSRF 保护来抵御该攻击?
什么是 CSRF 攻击?如何启用 CSRF 保护来抵御该攻击?
309 5
如何防范 CSRF 攻击
CSRF(跨站请求伪造)攻击是一种常见的安全威胁。防范措施包括:使用Anti-CSRF Token、检查HTTP Referer、限制Cookie作用域、采用双重提交Cookie机制等,确保请求的合法性与安全性。
什么是 CSRF 攻击
CSRF(跨站请求伪造)攻击是指攻击者诱导用户点击恶意链接或提交表单,利用用户已登录的身份在目标网站上执行非授权操作,如转账、修改密码等。这种攻击通常通过嵌入恶意代码或链接实现。
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等