Pikachu-CSRF(get/post/Token)

最新推荐文章于 2025-08-24 23:53:03 发布

原创最新推荐文章于 2025-08-24 23:53:03 发布 · 230 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#csrf #web安全 #网络安全

CSRF概述中比较重要的一句话：

CSRF与XSS的区别：CSRF是借用户的权限完成攻击，攻击者并没有拿到用户的权限，而XSS是直接盗取到了用户的权限，然后实施破坏。

GET

1.根据提示登录到grady的账户

2.登录后，点击修改信息

3.修改后的个人信息如图，先打开burpsuite进行拦截，再点击submit

4.拦截到的内容如下，我们修改其中的内容，比如说我们修改email为987654321

5.修改后，点击forward并关闭拦截，到我们修改后的内容如图：

POST

1.这次我登录的是lili的账户，登录后还是修改信息，打开拦截后，点击submit,拦截结果如图：

2.还是修改emali,最后得到的修改后的信息当中的emal,已被篡改

观察我们两次拦截到的信息可以发现GET型，会把我们的请求直接放到url中，而POST型则把我们的请求内容放到了消息内部。

Token

登录kobe的账号，修改信息，打开拦截抓包，submit

可以看到，相较于之前抓到的包，多了一个token的内容

右击Engagement tools中的Generate CSFR PoC

这个功能仅能在Pro版本中使用，我用的是社区版，所以之后我再补充这里的内容吧

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Eira-Z

关注关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

pikachu平台之csrf

qq_42728977的博客

12-16

2226

概述参考链接 CSRF 是 Cross Site Request Forgery 的简称，中文名为跨域请求伪造，在CSRF的攻击场景中，攻击者会伪造一个请求（一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，这个攻击也就完成了，所以CSRF攻击也被称为“one click”攻击。场景例子 lucy想要在购物网站上修改购物地址，这个操作是lucy通过浏览器向后端发送了请求。...

Pikachu之CSRF

weixin_48621644的博客

10-17

2232

小羊学安全任重而道远~

参与评论您还未登录，请先登录后发表或查看评论

CSRF漏洞+附pikachu靶场详解

zyh1588的博客

01-12

2595

小白回顾csrf漏洞知识，复现pikachu靶场。

pikachu csrf(get)

ANYOUZHEN的博客

05-04

498

抓包，观察get里面的内容，add表示地址的意思，将地址修改为beijing，然后将url替换get，完成伪装，只要让对方点击改伪造链接，即可达成修改地址的目的

Pikachu---CSRF(get)

weixin_53736204的博客

07-24

201

登录另一个用户–>将上一个用户请求头参数复制加到地址栏后面–》发现修改成vince修改的数据。先登录vince用户。点击网络–查看请求头。

pikachu--CSRF实验演练

m0_54024658的博客

06-18

547

CSRF概述 Cross-site request forgery 简称为“CSRF”，中文名称==跨站请求伪造==在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念，甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 CSRF与XSS的区别 CSRF是借用户的权限完成攻击，攻击者并没有拿到用户的

pikachu靶场-CSRF

2302_79841575的博客

08-24

1384

CSRF（跨站请求伪造）是一种利用用户身份进行恶意操作的攻击方式。攻击者诱导用户点击伪造链接或访问恶意页面，利用浏览器自动携带cookie的特性，以用户身份执行非授权操作。文章通过银行转账案例和Pikachu靶场实验，演示了GET/POST两种方式的CSRF攻击实现，以及防御措施——Token验证机制的工作原理：服务器生成随机Token存入Session和表单，提交时验证Token一致性后销毁，从而有效防止CSRF攻击。

pikachu靶场--＞CSRF漏洞详解

unlash的博客

10-13

1003

pikachu靶场CSRF漏洞详解，通关教程，漏洞介绍，防御措施，漏洞检测，漏洞危害

pikachu靶场-3 跨站请求伪造（CSRF）

weixin_52180702的博客

12-12

768

这个get请求实际上是向后台传递了刚才的所有参数，而且我们并没有在这个提交的参数里看到csrf token，也就是说后台这里是没有做一些防CSRF的措施的，同时他又是通过get请求来提交的，如果有人相对它进行修改，他就只需要获取到这个链接，然后就可以对一些地方进行修改，然后通过邮件，聊天工具等发送给受害者，受害者点击后就会被修改信息。get型的CSRF是比较好利用的，我们只需要伪造这个链接，然后把我们想要修改的参数修改掉，然后发送给带登录态的攻击者，他只要点击，这个请求就完成了，这个攻击也完成了。

pikachu靶场通关笔记15 CSRF关卡01-CSRF(GET)

mooyuan的网络安全博客

06-05

1634

本系列为通过《pikachu靶场通关笔记》的CSRF关卡(共3关）渗透集合，通过对CSRF关卡源码的代码审计找到CSRF安全风险的真实原因，讲解CSRF原理并进行渗透实践，本文为CSRF01关卡XSS之GET关卡的渗透部分。

pikachu(皮卡丘）--CSRF

m0_74871683的博客

09-16

717

简要概述为1、我们判断一个网站是否存在CSRF漏洞，其实就是判断其对关键信息（比如密码等敏感信息）的操作(增删改)是否容易被伪造。2、本质是借用户的权限完成攻击，因此攻击成功需要用户已经通过验证获得了权限，并触发了攻击者提供的请求。3、网站如果要防止CSRF攻击，则需要对敏感信息的操作实施对应的安全措施，防止这些操作出现被伪造的情况，从而导致CSRF。比如：--对敏感信息的操作增加安全的token；--对敏感信息的操作增加安全的验证码；

Pikachu靶场：CSRF（GET）、CSRF（POST）以及CSRF（token)

witwitwiter的博客

04-18

5108

Pikachu靶场：CSRF（GET）、CSRF（POST）以及CSRF（token) 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场实验原理 Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 CSRF的主要问题是敏感操作的链接容易被伪造，那么如何让这个链接不

pikachu~~~CSRF(get,post,token)

weixin_50339832的博客

06-06

1905

GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=dv&phonenum=num&add=beijing&email=kobe%40pikachu.com&submit=submit HTTP/1.1

pikachu靶场—CSRF篇

2401_87588238的博客

08-24

1008

CSRF攻击需要两个条件：用户已登录目标网站并保存登录凭证，以及被诱骗访问恶意页面。GET型攻击通过伪造URL诱导用户点击；POST型攻击则通过隐藏表单自动提交。有效的防护手段是使用CSRF Token，服务器为每个会话生成唯一Token并验证请求合法性，未通过验证的请求将被拒绝，从而防止攻击。Token需动态更新并嵌入表单，确保每次请求都携带有效凭证。

pikachu漏洞练习第三章节CSRF（get）（post）练习收获

kaka6764的博客

08-29

1074

Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念，甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。

十五、pikachu之CSRF

qq_55202378的博客

08-27

726

pikachu CSRF

Pikachu-----CSRF(跨站请求伪造)

m0_65712192的博客

12-19

2636

Pikachu-----CSRF(跨站请求伪造)

pikachu靶场-CSRF(跨站请求伪造)

qq_44655084的博客

12-30

1334

Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。

Pikachu 靶场 CSRF 通关解析

Flag少侠的博客

05-08

3695

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种常见的Web应用程序安全漏洞，它允许攻击者在用户不知情的情况下以受害者的身份执行未经授权的操作。CSRF攻击利用了Web应用程序对用户的信任。攻击者通过诱使用户访问恶意网站或点击恶意链接，使受害者在已登录的状态下访问目标网站。然后，攻击者利用受害者的身份在目标网站上执行恶意请求，例如转账、更改密码或删除数据。以下是CSRF攻击的一般工作流程1. 受害者登录：受害者在目标网站上进行登录，并获得有效的会话凭证。

（1）Pikachu靶场CSRF题目：CSRF(get),CSRF(post),CSRF(token);