安基网 首页 安全 渗透测试 查看内容

第二轮学习笔记:CSRF跨站请求伪造漏洞

2020-4-27 11:18| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: xss直接盗取了用户的权限,利用获取的cookie登录后台,在进行进一步操作。csrf是借助用户的权限完成攻击,伪造一个攻击的链接,让用户在登录状态下点击此链接,从而达到攻击的目的。一、漏洞可能存在的 ...

早上开心的事就是,睡醒的时候,看到你昨天晚上回我的,我来不及看到的内容。。。。

---- 网易云热评

xss直接盗取了用户的权限,利用获取的cookie登录后台,在进行进一步操作。

csrf是借助用户的权限完成攻击,伪造一个攻击的链接,让用户在登录状态下点击此链接,从而达到攻击的目的。

一、漏洞可能存在的地方

1、站点的增删改查处;

2、cookie的有效期较长的

二、漏洞利用

1、 http://192.168.1.129/dvwa/vulnerabilities/csrf/,该页面存在漏洞,输入原始密码,及要修改的密码

2、打开burpsuite,抓包,将找到修改密码的包发送到重发器

3、右击,选择相关工具--》csrf poc生成

4、点击浏览器测试,复制生成的网址并在浏览器打开

5、退出DVWA,重新登录,发现密码已经修改为123456,测试成功

6、点击上面复制HTML,然后新建一个html文件,把内容粘贴进去并重新设定密码为password,然后用浏览器打开该文件,点击按钮


7、直接跳转到修改密码的页面,登出验证,发现密码又被修改回来了。


禁止非法,后果自负

欢迎关注公众号:web安全工具库



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6820011755360485902/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
河北11选5走势图 千旺彩票计划群 J8彩票计划群 大象彩票计划群 极速赛车登陆 万利彩票计划群 极速赛车怎么看单双 北京极速赛车规律 上海11选5走势 豪门会彩票计划群