使用dvwa环境进行csrf漏洞练习

最新推荐文章于 2024-10-13 19:14:41 发布

原创

最新推荐文章于 2024-10-13 19:14:41 发布 · 756 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

本文通过登录DVWA并设置等级为Low，详细介绍了如何利用CSRF漏洞进行密码修改。在修改密码界面，由于仅验证了新旧密码一致，而没有实施额外防护，这为攻击者提供了机会。通过创建包含恶意请求的csrf.Php文件，当用户访问此文件时，密码会被悄无声息地修改。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

登录dvwa环境，并将等级设为low，

打开csrf看到一个修改密码界面

查看源代码，发现这里只对两次输入的密码是不是相同进行判断，未做任何防护

使用hackerbar发现输入的参数在url中，我们可以利用这个特点

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

DXfighting_

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

《WEB安全渗透测试》（12）DVWA之CSRF实战

午夜安全

11-11

930

《WEB安全渗透测试》（12）DVWA之CSRF实战 CSRF(Cross-site request forgery)，跨站请求伪造，简写 CSRF/XSRF。指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。1）分析使用Burp抓包，看正常用户修改密码发送的请求。服务器端代码如下：...

DVWA之CSRF漏洞（详细）

热门推荐

qq_44720671的博客

07-26

2万+

CSRF简介 csrf全称为：Cross-site request forgery，是一种常见的web攻击。在场景中，攻击者会伪造一个请求（通常是一个链接），然后欺骗目标用户点击，用户一旦点击，攻击也就完成了。与xss的区别：csrf是借助用户的权限完成攻击，攻击者并没有拿到权限；而xss是直接盗取用户权限去进行破坏。更改难度：点击dvwa security，选择难度，然后点击submit...

参与评论您还未登录，请先登录后发表或查看评论

DVWA之CSRF漏洞

qq_40023447的博客

07-18

1689

CSFR漏洞 CSRF简介 CSRF全名是Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。其通过利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作。漏洞原理因为Web应用程序在用户进行敏感操作时，如修改账...

DVWA——CSRF漏洞

qq_62803993的博客

01-14

440

首先进入初级页面我们知道这是一个修改密码的，当我们输入密码进行修改后，提示修改成功后，我们会发现这也是一个get型提交。那我们就试试直接在地址栏中修改内容，看能否执行成功。（修改内容后，我们复制链接重新打开一个界面，然后输入网址进入页面，出现下图，要注意的是我们必须使用同一个浏览器，因为在访问页面时通常存在cookie认证，否则即使点击了恶意链接也没用。

DVWA-—【CSRF】漏洞利用

qq_34914659的博客

05-20

1267

1.漏洞介绍 CSRF跨站点请求伪造(Cross—Site Request Forgery)，攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。https://www.freebuf.com/articles/web/253838.htmlCSRF和XSS的最大的区别在于，CSRF并没有盗取cookie而是直接利用。下图...

【无标题】使用dvwa环境进行csrf漏洞练习

qq_48744846的博客

04-13

318

Low: 通过Burpsuite抓取修改密码的报文右键选择Engagement tools—>Generate CSRF PoC 生成构造好的攻击脚本，value就是要修改的密码拷贝到根目录下访问该html，并点击Submit request 密码修改成功 ...

DVWA系列之18 CSRF漏洞分析

weixin_34205076的博客

12-25

261

下面我们来查看一下low级别的CSRF源码：代码中在获取了$pass_new和$pass_conf这两个变量之后，利用mysql_real_escape_string()函数进行了过滤，这样虽然可以防止SQL注入，但却无法阻止CSRF***，之后这两个变量便被直接代入UPDATE语句中执行了数据库更新操作。下面再来分析一下medium级别的代码：可以看到这里在获取$pass_new和$pass_c...

DWVA之csrf漏洞原理、防御及练习

m0_71635484的博客

03-16

574

DWVA之csrf漏洞原理、防御及练习

DVWA练习之CSRF

weixin_67813445的博客

03-16

186

CSRF攻击利用网站对于用户浏览器的信任，攻击者挟持用户的登录信息，向网站发送一些并非用户本意的请求，执行一些操作。

CSRF漏洞实践针对安全级别为LOW，请使用DVWA靶机环境进行拦截密码修改练习。写出解题过程和思路

最新发布

10-30

1. **理解环境**：首先，打开DVWA，登录到包含CSRF漏洞的页面（如Password Reset模块），并确认你已经成功创建了一个测试用户用于实验。 2. **获取CSRF Token**：查看源码或开发者工具（如Chrome DevTools），找到...

[实验]csrf dvwa

foolisheddy

03-21

2904

dvwa low 级别测试源代码构造链接 dvwa medium 级别测试源代码漏洞利用 dvwa high 级别测试源代码漏洞利用 dvwa Impossible 级别测试源代码漏洞利用参考list tips 新知识点清单 token php语法语法作用短链接 Anti-CSRF token机制授权与未授权请求域与Cookie信息所指定的域域dvwa low 级别测试：源

DVWA-CSRF漏洞

sc_Pease的博客

01-29

509

参考：https://blog.youkuaiyun.com/qq_44720671/article/details/97393100 一、漏洞简介 1，CSRF：cross-site request forgery跨站请求伪造，一种常见Web攻击。 2，利用场景：攻击者伪造一个请求（通常是一个链接），然后欺骗目标用户点击，用户一旦点击，攻击就完成了。 3，与XSS比较：csrf是借助用户的权限去完成，而xss是盗取用户权限去进行破坏。二、查看不同难度的dvwa源代码 1，low难度查看网页源代码

DVWA环境实战演示“CSRF”漏洞原理及漏洞修复

qq_40529133的博客

04-07

1481

概念 CSRF全称（Cross-site request forgery）跨站请求伪造，CSRF通过伪装成受信任用户的请求来利用受信任的网站，从而执行受害者非本意的操作，相对于XSS漏洞来说CSRF漏洞更具有危险性。准备实战环境我们先将安全等级调成low，进入CSRF界面，它是一个常见的密码修改功能：先进行正常操作，输入新密码 hacker 确认后密码修改成功。返回到登录页面验证下，输入用...

CSRF漏洞（原理、DVWA实验、修复建议）

coderge's 优快云 Blog.

09-20

3763

目录 1 介绍CSRF漏洞 2 CSRF漏洞的原理 3 DVWA CSRF实验过程 3.1 low级别 3.2 medium级别相关函数说明 3.3 high级别 3.4 impossible级别 4 CSRF漏洞修复建议 1 介绍CSRF漏洞 CSRF (Cross -site request forgery，跨站请求伪造)也被称为One Click Attack或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)

DVWA-CSRF漏洞【全难度】

ethan18的博客

06-10

300

CSRF漏洞全称是Cross-site Request Forgery，跨站请求伪造。这个漏洞主要的思路是利用了本来就登录在目标网站A的用户，当这些用户点击了相应的伪造网站B后，这些网站中的陷阱就会使用户访问网站A（在用户不知道的情况下），这样就可以借助用户之手，做到列入修改密码之类的操作。

DVWA CSRF 漏洞实践报告

聚焦网络安全，以多元语言优势汲取知识，分享生动有趣的学习与技术心得。

10-13

2315

CSRF（跨站请求伪造）是一种攻击，使得攻击者能够以受害者的身份执行非预期的操作。在靶场DVWA中，我将尝试通过CSRF漏洞更改管理员密码。

DVWA实战测试之CSRF

0xdawn的博客

01-30

507

0x01 Low级别源码分析 <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? ...

DVWA csrf漏洞\

07-23

DVWA (Damn Vulnerable Web Application) 是一个专门用于安全测试和漏洞练习的开源Web应用程序。CSRF（Cross-Site Request Forgery）是一种常见的Web应用程序安全漏洞，攻击者可以利用它欺骗用户在未经其许可的情况下执行非预期的操作。在DVWA中，CSRF漏洞可以用来模拟攻击并测试Web应用程序的安全性。攻击者可以通过构建恶意网页或链接，诱使用户在登录状态下访问该页面或点击该链接，从而执行未经授权的操作。要利用DVWA中的CSRF漏洞进行攻击，首先需要了解目标应用程序的功能和请求结构。然后，攻击者可以构建一个包含恶意请求的HTML页面，并欺骗用户访问该页面。当用户访问页面时，恶意请求将自动发送到目标应用程序，执行攻击者所期望的操作，比如修改用户密码、发送恶意邮件等。为了防止CSRF攻击，开发人员可以采取一些措施，如使用随机生成的令牌验证每个请求、检查Referer头等。此外，用户也可以采取一些预防措施，比如不点击来自不信任来源的链接、及时退出登录等。请注意，CSRF漏洞是一种常见的Web应用程序安全问题，开发人员和用户都应该了解并采取相应的防护措施来保护应用程序和个人信息的安全。