csrf漏洞详细攻略

原创已于 2025-03-06 20:18:46 修改 · 233 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#csrf #安全 #前端

于 2025-03-06 19:58:01 首次发布

1.把需要的文件放在www目录下

2.全部通过后点击下一步

3.填写数据库和密码

4.依次点击进入管理员界面

5.点击用户--管理员

6.编辑修改管理员密码

7.使用bp抓包，先开启拦截在保存

8.右键相关工具--生成CSRF poC

9.点击复制html

10.把代码复制到www中，改名为2.html

11.在另一个浏览器打开localhost/2.html，模拟受害者管理员，保持登录状态

12.使用原密码发现登录失败，而后来的密码显示登录成功

成功利用CSRF漏洞修改管理员密码

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

与神明画鸭

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

CSRF漏洞原理与防御方式

dreamthe的博客

09-17

2211

CSRF漏洞原理 CSRF被叫做跨站请求伪造，该怎么理解这句话呢，比如用户a在浏览器登录了账号，当他发送登录请求时候，服务器验证了账号密码，会返回给一个身份信息存放在cookie里面，浏览器保存，那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢，是用户在已经登录的状态下，访问了一个恶意的网站，带浏览器保存的cookie值向服务器发送了恶意请求，服务器会以为是用户的请求，其实这是用户不知情的请求。垮了两个站，一个是用户登录实际网站，一个屙屎攻击者恶意构造网站，所以称作跨站请求伪造。

【XSS & CSRF 】访问时篡改密码——以DVWA-High为例

Mr_Fmnwon的博客

05-23

1486

第二阶段，增加了一个CSRF-Token。关于XSS的利用，cookie的泄露，在上述博客中已很清晰地说明白了~从一开始无法利用，到思考需要的条件，一步步实现，对CSRF、XSS的理解更深了。唯一觉得遗憾的是，chat强大、解放编写代码门槛的同时，也让我编码能力——程序员的核心能力——迟滞不前甚至降低许多。。。唉。

参与评论您还未登录，请先登录后发表或查看评论

Web安全：跨站请求伪造（CSRF）测试和利用.

网络安全领域___专研者.

02-18

4836

CSRF漏洞的概括： CSRF（跨站请求伪造）漏洞的原理：攻击者是通过用户浏览了攻击者构造的链接，从而达成一个攻击的目的。主要的作用是：浏览器的安全策略是允许页面发送到任何地址的请求，攻击者可以控制页面的内容来控制浏览器发送攻击者精心构造的请求.

csrf漏洞攻略(metinfo)

2503_90824938的博客

03-06

596

然后我们打开网站的 www 目录，在此目录下新建一个文本文档，将复制的HTML代码粘贴过来，并将文件后缀名改为‘.html’，这里我将其命名为 3.html。然后我们再打开另一个浏览器，模拟被攻击者，要确保用户保持登录状态，不然不会成功。发现出现了以上页面，这里我们试试最开始的登录密码试着登录，显示密码错误。这个时候我们可以打开bp抓取提交的请求包，先打开拦截再点击“保存”输入设置的账户密码登录即可进入后台，点击“用户-管理员”然后鼠标右键选择“相关工具”-“生成CSRF-PoC”点击“复制HTML”

metinfo-CSRF漏洞攻略

2401_85578339的博客

03-06

386

由于⽹站对⽤户⽹⻚浏览器的信任导致⽤户在当前已登录的Web站点的状态下，访问攻击者构造的攻击连接从⽽执⾏⾮本意的操作的漏洞。

精选资源

CSRF漏洞详细说明

02-26

经常入选owasp漏洞列表Top10，在当前web漏洞排行中，与XSS和SQL注入并列前三。与前两者相比，CSRF相对来说受到的关注要小很多，但是危害却非常大。通常情况下，有三种方法被广泛用来防御CSRF攻击：验证token，验证...

CSRF漏洞详细剖析

xiaoyang886_的博客

10-09

456

唯一的重点是浏览器与服务器之间是在会话之中，在这个会话没有结束时候，你可以利用你的权限对网站进行操作，如进行发表文章，发邮件，删除文章等操作当这个会话结束后，你在进行某些操作时候Web应用程序通常会来提醒你，您的会话已过期，或者是请重新登陆等提示。而且与你所登录的网站是同一个银行，你可能认为这个网站是安全的，并不是什么钧鱼网站之类的，然后打开了这条URL，那么你的账户的钱可能就在你的这一次小小点击上全部丢失。CSRF攻击之所以能够成功，是因为攻击者可以伪造用户的请求，该请求中所有的用户验证信息。

CSRF漏洞原理攻击与防御超详细

qq_48368964的博客

08-13

1649

CSRF（Cross-Site Request Forgery，跨站点伪造请求）是一种网络攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在未授权的情况下执行在权限保护之下的操作，具有很大的危害性。具体来讲，可以这样理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。

hucart-含有CSRF漏洞的源码.zip

12-31

在这个案例中，"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例，让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**： CSRF漏洞通常发生在Web应用程序中，这些应用未对请求进行...

FineCMS 5.0.10漏洞集合

Unitue_逆流

10-12

9962

笔记地址： https://www.ichunqiu.com/course/59007 操作机： Windows xp IP:172.16.11.2目标机： Windows xp IP:172.16.12.2实验目的：学习漏洞产生的原理学习如何对此漏洞进行利用修复实验内容： FineCMS是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统。其5.0.10

CSRF跨站点伪造请求攻击——脱库及密码修改

温柔小薛的博客

04-11

1347

脱库及密码修改 CSRF 快速拖库案例拖库’本来是数据库领域的术语，指从数据库中导出数据。到了黑客攻击泛滥的今天，它被用来指网站遭到入侵后，黑客窃取其数据库。网站数据库被拖，直接导致用户信息泄露，造成的危害很大，比如：优快云明文密码泄露事件、小米 800W 用户信息泄露事件等等首先，我们先登录一下 discuz 的后台，模拟管理员进行周期性的数据库备份。(admin) Uce...

Csrf利用管理员权限创建后台管理账户

苍白的小包叽的博客

02-20

2476

[实验原理] 通过普通用户的储存型XSS实现创建管理员账户的CSRF利用一、测试漏洞打开网站：http://192.168.1.3:8007（安徽二手网）注册一个用户并登录添加二手信息在物品简介处填写：alert(123) 点击打开首页，点击刚刚发布的信息，弹出信息，说明漏洞存在二、利用漏洞在首页继续添加二手信息，再次编辑，在物品简介处填写内容： functi

DVWA靶场--CSRF漏洞修改目标的密码(low)

m0_53623242的博客

02-21

6083

作业准备： 1、Jdk环境 2、BurpSuite抓包 3、搭建DVWA靶场 4、phpStudy（Apache和MySQL都已配置） 5、kali虚拟机 6、CSRF虚拟机

CSRF防护模式选择指南：三种方案的对比与决策

petunsecn的专栏

12-12

940

本文系统分析了CSRF防护方案的决策框架，包含5个核心维度对比表、场景化决策矩阵和流程图。针对金融级应用、现代Web应用和高并发API三种典型场景，分别给出具体配置方案和实施要点，强调安全措施、性能优化和故障处理策略。总结提出安全优先、性能优先、平衡和渐进4项决策原则，建议采用深度防御、定期评估、持续监控和团队培训等最佳实践，帮助构建有效的CSRF防护体系。

网络安全中级阶段学习笔记（十）：upload靶场实战(17关以及问题解决）

2501_91976946的博客

12-20

907

本文介绍了upload靶场第17关的解题过程，重点探讨了绕过二次渲染的方法。作者最初尝试使用png图片木马失败，后发现只有gif图片才能找到未被渲染修改的相同编码区域。通过对比原图与渲染后图片的Hex码，找到不受影响的区域并替换为木马代码。具体步骤包括：上传gif图片马、下载渲染后的图片、用EmEditor工具对比编码、在相同区域插入木马代码并保持格式一致，最后重新上传修改后的文件。该方法成功绕过了二次渲染的防护机制，实现了文件包含漏洞的利用。

空天地一体化边坡监测及安全预警系统

GIS数据转换器的博客

12-22

646

摘要：2025年广西南横高速边坡预警系统通过"空天地一体化监测网络"（无人机、卫星、地面及深部传感器）实时捕捉毫米级位移，AI算法实现72小时超前预警，成功避免滑坡事故。该系统在矿山和高速公路应用中使事故率下降60%，运维成本降低35%，并逐步向"智能自愈"方向发展，构建从监测到应急的全生命周期安全管理体系。（149字）

安全通用要求之六安全管理制度

木矞的博客

12-22

262

2)应核查是否具有安全管理制度的审定或论证记录，如果对制度做过修订，核查是否有修订版本的安全管理制度。应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。2)应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发，如正式发文、领导签署和单位盖章等。应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

低空起飞，安全先行：Wisdom 模糊测试如何构建低空的安全底座？

中科数测

12-25

424

Wisdom平台将继续拓展在卫星通信、芯片安全等前沿领域的应用，以全面、深度的协议模糊测试能力，为低空经济构筑隐形的安全护盾。

自建云服务器的潜在风险与安全挑战分析