【Burp入门第十二篇】使用BurpSuite实现CSRF+修改邮箱实战案例

已于 2024-05-24 14:40:23 修改
阅读量3.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: BurpSuite入门教程(附实战图文) 文章标签: csrf BurpSuite 渗透工具
于 2024-04-06 15:56:19 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/137430499
本文介绍了如何利用Burp Suite进行CSRF漏洞检测,通过详细步骤展示了一个修改邮箱的实战案例,强调了CSRF攻击存在的前提条件,并指导读者如何检查简单身份验证的可行性,最终成功实现了邮箱地址的非法修改。

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |优快云秋说】

在这里插入图片描述

CSRF存在前提:简单的身份验证只能保证请求是发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的

业务场景:新增、删除、收藏、编辑、保存

使用Burp发现CSRF漏洞的过程如下。

1、如图,存在修改邮箱的功能点如下:

在这里插入图片描述

2、修改邮箱的流量包,此时邮箱已被修改:

在这里插入图片描述

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Burp入门第三十七】AutoRepeater插件安装使用教程+越权实战案例
等风来
03-04 1647
AutoRepeater 通过接收满足特定条件的请求,按照预设的基础替换规则对请求进行处理。在接收到匹配请求后,它首先应用基础替换,然后针对每个定义的替换创建请求副本并应用该替换操作,从而实现对不同参数的修改和请求的重复发送,以此来全面检测 Web 应用的授权情况。1、自动化请求重复:能自动复制、修改并重发 HTTP 请求,避免了手动重复操作的繁琐,大大提高了 Web 应用授权测试的效率。2、灵活参数替换:可灵活改变邮箱地址、账号身份、角色、URL 和 CSRF 令牌等关键参数。
使用burp suite验证是否存在csrf漏洞
渗透之路,攻防之间皆学问
03-17 7072
burp suite中集成了验证csrf漏洞的poc,直接使用就可以,不用自己构建表单了,非常方便。用pikachu的csrf来进行验证吧。 CSRF(get) 提交修改个人信息后,截取数据包,选择如下 如下,我们将原本的手机111...修改为2222,复制burp构造的表单链接,在同一个浏览器打开(没有退出登录的前提下) 点击 数据被修改成功,存在csrf CSRF(POST) 也是一样的方式,就不再演示,如果数据被修改成功,则存在漏洞 CSRF(Token) 由于携带了
利用burp suite进行CSRF重放攻击
vaeloverforever的博客
12-16 4606
在windows xp系统中配置Damn Vulnerable Web Application (DVWA),借此安装一个web服务器,这个应用程序有若干基于web的漏洞,比如跨站脚本 (XSS), SQL注入, CSRF,命令注入等。 安装步骤 Step 1: 下载并安装XAMPP Step 2: 打开XAMPP Control Panel,开启Apache和MySQL服务 点击”S...
2、使用BurpSuite进行CSRF漏洞测试
D516701881的博客
12-18 7057
1.环境准备 1.1.PC端设置BurpSuite设置代理 打开BurpSuite>proxy>options,开启本地代理 导出CA证书,打开BurpSuite>proxy>options,点击Import/export CA certificate,导出证书到本地。 安装导出的证书到本地计算机,安装方法不再详述。 1.2.靶机环境 DVWA是著名的OWASP开放出来的一个在线web安全教、学平台。提供了:暴力破解、命令执行、CSRF、文件包含、SQL注入、XSS学习环境,并且分
【渗透测试】浅谈 CSRF
网络安全从业者的学习笔记
08-30 855
CSRF(Cross Site Request Forgery),中文翻译过来叫跨站请求伪造。是一种常见的Web漏洞。曾在2007年被列为互联网20大安全隐患之一。黑客可以构造一个恶意请求,而用户又点击了此精心构造的payload,导致用户的个人隐私以及财产安全造成威胁。因为此类漏洞需要用户点击,所以也称该漏洞为“One-Click Attack”。所以,对于突然发来的邮件以及陌生美女发来的“点击有惊喜”此类的链接以及二维码,我们点击时还是要慎重。......
burp靶场--CSRF
qq_33168924的博客
01-25 3846
应用程序不校验csrf的有效性,只是对比body中与cookie中csrf的值是否相同,相同就接受请求,由于搜索功能没有csrf保护,并且存在cookie注入,所以可以使用搜索中cookie注入修改cookie的csrf与bodycsrf一致造成csrf攻击。步骤1:登陆两个账户,将账户A的csrfkey与csrf值替换给第二个账户B中使用,用来请求修改邮箱地址,修改成功,但是由于cookie被修改会导致账户退出,并且发现搜索功能存在cookie注入【注入的数据可以修改客户端cookie设置】,所以结合。
BurpSuite工具系】使用BurpSuite一次完整的测试CSRF漏洞
run_boy_2022的博客
06-14 1518
在搜索选项 network.proxy.allow_hijacking_localhost jiang 将false修改为true,双击打开我们的burpsuite工具,将这里的监听端口改为8008。火狐浏览器地址栏添加 about:config。这样本地请求就可以监听到了。下载火狐浏览器设置网络代理。打开百度,浏览器提示这个。双击该选项就会为true。
burpsuite csrf攻击_CSRF攻击的BurpSuite实战
weixin_42499363的博客
01-11 1059
今天做的是CSRF越权攻击,原理是通过在自己网站或者目标网站,通过模拟发包,替客户端发送请求。环境配置考虑其危害性,虽然不是很大,但是考虑到安全问题,所以本次演示需自己搭建实验环境,主要内容是用PHPstudy在本地搭建一个本地网站。下载并安装PHPstudy 寻找CSRF漏洞测试网站域名www.incake.net还是老步骤,注册,点击个人中心。然后进入“发票管理”页面: 此时,发票信息页面内容...
用于渗透测试人员的 Burpsuite:Logger++
最新发布
技术超强的网络安全平台
04-25 718
在本文中,我们将学习一款功能强大的 Burp 扩展工具“Burp Logger++”。它就像网站的超级侦探,时刻警惕地寻找任何隐藏的问题。它是 Burp 的一项额外功能,许多网络专家都用它来查找网站问题。假设你是一位网页浏览器用户,想要了解某个网站的所有信息。Burp Logger++ 就像你值得信赖的笔记本一样。它非常有用,因为它拥有一个神奇的过滤器。你可以告诉它你正在寻找哪些信息,它只会显示这些内容。使用 Burp Logger++,您还可以使用颜色编码。
Burpsuite+1.7.26+无限制版
02-14
《全面解析Burp Suite 1.7.26 Unlimited版:强大的网络安全测试工具》 Burp Suite是一款由PortSwigger公司开发的专业网络安全测试工具,它主要用于Web应用的安全评估。本次介绍的是1.7.26的无限制版本,提供更全面...
burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
baimao__Ch的博客
07-04 1540
一、跨站点请求伪造(CSRF)1、简述:2、影响:3、原理:4、构造CSRF攻击实验1:无防御的CSRF漏洞5、利用CSRF6、针对CSRF的常见防御措施二、绕过CSRF令牌验证1、CSRF令牌2、CSRF令牌的验证取决于请求方法实验2:令牌验证取决于请求方法的CSRF3、CSRF令牌的验证取决于令牌是否存在实验3:CSRF,其中令牌验证取决于令牌是否存在4、CSRF令牌未绑定到用户会话实验4:令牌未绑定到用户会话的CSRF5、CSRF令牌绑定到非会话Cookie。
burpsuiteCSRF测试简单说明;
白骨梦儿
03-18 4874
【技术有限,水平一般;刚刚学习,多提意见!】 CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞; CSRF攻击说明:攻击者(攻击者)利用受害者(受害者)尚未失效的身份认证信息(cookie,session等),以某种方式诱骗受害者点击攻击者精心制作的恶意链接或者访问包含恶意...
Burp验证CSRF
per_se_veran_ce的博客
10-17 1659
1、使用AWVS扫描漏洞,找到可能存在CSRF的页面 2、找到可能存在CSRF的页面,抓包 右击生成CSRF POC 清除refer和cookie的影响 3、修改一些参数 4、点击Test in browser,弹出一个框,下面的just copy 打对勾 复制生成的url,在浏览器中访问 增加了一条新纪录,存在CSRF 信息被修改,或成功新增表单,则说明可以成功伪造...
burpsuite csrf攻击_「Burpsuite练兵场」CSRF(一)
weixin_39722070的博客
12-18 313
CSRF(Cross-site request forgery,跨站点请求伪造)是一种是挟制终端用户在当前已登录的Web应用程序上执行非本意操作的攻击方法,它允许攻击者诱导用户执行他们不打算执行的操作,并且该攻击可以部分规避同源策略。通过利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而...
DVWA系列(五)——使用Burpsuite进行CSRF(跨站请求伪造)
weixin_45116657的博客
09-18 2560
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与X...
csrf攻击原理与解决方法_WEB安全之CSRF
weixin_39909212的博客
11-20 1712
大家好,我是阿里斯,一名IT行业小白。今天分享的内容是CSRF相关知识,不求表哥们打赏,只求点点在看,点点转发。CSRF漏洞概述CSRF(Cross-Site Request Forgery),中文名为跨站请求伪造,是一种Web攻击方式。该漏洞是一种挟持用户在当前已登录的Web应用程序上执行非本意操作的攻击方法。通俗点说就是恶意攻击者窃取了你在某个网站的身份,以你的名义发送恶意请求。CS...
如何通过Burp Suite专业版构建CSRF PoC
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-15 2049
Burp Suite是一款强大的渗透测试利器,可以利用它来高效的执行渗透攻击,接下来介绍如何通过Burp Suite Pro来构建CSRF PoC。pushState'''''/'
burpsuite csrf
12-20
其中关于CSRF (Cross-Site Request Forgery) 的部分,Burp Suite提供了一种叫做"CSRF Protection Scanner"的功能模块。 这个模块可以帮助开发者检测网页应用程序是否对CSRF攻击进行了足够的防护。CSRF是一种常见的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值