WebGoat8 M17 CSRF 题解

最新推荐文章于 2023-04-18 11:44:03 发布
最新推荐文章于 2023-04-18 11:44:03 发布
阅读量1k 收藏 1
点赞数
分类专栏: Webgoat8合集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XenonL/article/details/104824280
版权
本文详细介绍了WebGoat8中关于CSRF(跨站请求伪造)的系列练习,包括基本GET和POST CSRF攻击,JSON类型的CSRF以及模拟Login CSRF攻击的场景。通过使用Burp Suite抓包和生成PoC,解释了解题过程和注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

 

什么是CSRF?

题目3 Basic Get CSRF Exercise

题目4 Post a review on someone else’s behalf

题目7 CSRF and content-type

题目8 Login CSRF attack

什么是CSRF?

CSRF,Cross-site request forgery,跨站请求伪造。

一个CSRF攻击大概是这样的:

用户在登录某个账户时(比如QQ),点击了攻击者发来的钓鱼链接,这个链接会自动发起例如改密码的请求。因为用户已经登录,请求会被误以为是用户自身的操作。(然后QQ就被盗了)

 

题目3 Basic Get CSRF Exercise

题目要求我们换个源点击这个提交,那么就用Burp抓个包,把referer随便改一下:

搞定。

 

另外一种方法,用Burp生成一个PoC

PoC大概是验证程序的意思,在这里生成CSRF PoC就是生成一段能点击这个链接的html代码。

用Burp生成PoC的方法:

最低0.47元/天 解锁文章
Java代码审计——WebGoat CSRF (上)
m0_61506558的博客
12-02 643
CSRF(Cross Site Request Forgery,跨站点请求伪造)是目前出现次数比较多的漏洞,该漏洞能够使攻击者盗用被攻击者的身份信息,去执行相关敏感操作。实际上这种方式是攻击者通过一些钓鱼等手段欺骗用户去访问一个自己曾经认证过的网站,然后执行一些操作(如后台管理、发消息、添加关注甚至是转账等行为)。由于浏览器曾经认证过,因此被访问的网站会认为是真正的用户操作而去运行。简而言之,CSRF 漏洞的工作原理是攻击者盗用了用户的身份,以用户的名义发送恶意请求。
WebGoat8 M17 JWT tokens 题解
伊维泽诺流浪记
03-24 2850
https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc https://www.freebuf.com/vuls/216457.html https://jwt.io/#encoded-jwt
WebGoat8 答案与难题题解 系列文章目录
伊维泽诺流浪记
03-16 2392
WebGoat8系列文章目录 WebGoat8 M17 General 攻略答案 WebGoat8 M17 Injection Flaws 答案与难题题解 WebGoat8 M17 SQL(Advanced)盲注题 BurpSuite爆破解法 WebGoat8 M17 SQL Injection (mitigation) Order by注入 BurpSuite爆破解法 A...
Webgoat-CSRF/SSRF
hee_mee的博客
07-21 1252
zeroNil
WebGoat学习——跨站请求伪造(Cross Site Request Forgery (CSRF))
weixin_34326429的博客
06-21 476
跨站请求伪造(Cross Site Request Forgery (CSRF)) 跨站请求伪造(Cross Site Request Forgery (CSRF))也被称为:one click attack/session riding,缩写为:CSRF/XSRF,是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击人员通过一些手段让终端用户点击存在攻击...
WebGoat——CSRF
OOM
07-26 3095
1、CSRF 介绍参见:http://blog.youkuaiyun.com/yu422560654/article/details/7789167 题意:书写一个URL诱使其他用户点击,从而触发CSRF攻击。 解题:以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,其他用户一旦点击图片,就会触发一个CSRF事件。 代码如下: 2、
WebGoat学习笔记(五)——CSRF Token By-Pass
走走停停
11-18 2631
题目:最后成功的Message内容:
WebGoat8 M17 XSS 答案、题解
伊维泽诺流浪记
03-09 1767
目录 XSS简介 题目2:Try It! Using Chrome or Firefox 题目7:Try It! Reflected XSS 题目10:Ientify Potential for DOM-Based XSS 题目11:Try It! DOM-Based XSS 题目13:又是这只衣架猫 XSS简介 XSS(Cross-Site Scripting)...
WebGoat8 M17 Access Control Flaws 题解
伊维泽诺流浪记
03-12 571
2 用户名tom密码cat登录即可 3 f12看到一个叫profile的包,查看响应就发现了参数 对比一下,没显示出来的参数是role和userId,下一题 4 照经验来看,这种时候一般都是在后面跟数字数字或者用户名之类的,于是先试了一下上题里的userId: WebGoat/profile/2342384 结果连回显都没有,应该是服务器报错了。 再回去抓一下...
WebGoat8 M17 XXE 全思路、题解与答案
伊维泽诺流浪记
02-27 2220
目录 01 什么是XML语言 02 实体、外部实体 03 什么是XXE 04 XXE问题3 ★ 05 XXE问题4 ★ 06 参数实体 07 XXE问题7 ★ 01 什么是XML语言 XML(EXtensible Markup Language),可扩展标记语言,是一种用于标记电子文件,使其具有结构性的标记语言,可以用来标记数据,定义数据类型。与HTML不同:HTML被设计...
WebGoat使用说明
06-21
网络攻防课程教材,中文版的webgoat使用说明
面试必备:WebGoat实战通关指南!一(General、Injection)
最新发布
03-22
webgoat通关【2024年WebGoat8.2.2通关记录一(General、Injection)简介】 内容概要: 本文为网络安全初学者提供了一个全面的学习指南,通过通俗易懂的语言,介绍了WebGoat8.2.2版本的General和Injection两个关卡的通关技巧。同时,文章还提供了实战演练和进阶学习资源,帮助读者更深入地理解和掌握网络安全技能。 适用人群: 本篇文章主要面向网络安全初学者,特别是那些即将参加面试的求职者。它为读者提供了一个实用的指南,帮助他们掌握网络安全的基本知识和实战技巧。 使用场景及目标: 本篇文章适用于求职者准备涉及网络安全的面试场景。它的目标是帮助求职者理解并掌握这些概念,从而在面试中更好地展示自己的技术能力和问题解决能力。 其他说明: 文章采用通俗易懂、口语化的语言风格,旨在让读者轻松理解并吸收内容。同时,文章还强调了准备理论知识、实际案例和编码实践的重要性,鼓励求职者在面试中展示自己的实际操作能力和项目经验。此外,文章还提供了心态调整建议,帮助求职者全面提升面试技巧。最后,文章鼓励求职者保持积极的心态,将面试视为自我发现和成长的机会。
burpsuite csrf攻击_webgoat-csrf
weixin_36362920的博客
11-30 307
题目要求1:通过csrf的方式跨站点提交请求,然后填入响应的flag。在burpsuite里面看下直接点提交会发生什么:发送了请求:GET /WebGoat/csrf/basic-get-flag?csrf=false&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2 HTTP/1.1既然是要模拟csrf,那肯定就是单独通过其他方式来发送这个请求,一般...
WebGoat8 M17 Injection Flaws 答案与难题题解
伊维泽诺流浪记
03-11 768
目录 SQL Injection SQL Injection(Advanced) SQL Injection(Mitigation) XXE SQL Injection 7 字符型注入 ' or '1'='1 8 数字型注入 1 or 1=1 SQL Injection(Advanced) 3 输入: ' union select 1, user_name...
Web安全系列之CSRF攻击
bdfcfff77fa的博客
04-18 614
Web安全系列之CSRF攻击
WebGoat (A8:2013) Request Forgeries -- Cross-Site Request Forgeries
箭雨镜屋
06-15 2329
一、习题通关 第3页 任务:下图的提交按钮会发送一个请求,这题的要求是在webgoat用户登录的情况下,从其他网站触发这个请求,以获取flag,提交flag即可通关。 解题步骤: 首先注意这页有个狼的图标,表示可以借助webwolf。其实不借助也可以,自己可以简单起个http服务(比如用python)。这里还是用webwolf演示,关于webwolf的安装和使用见WebGoat (A2) Broken Authentication -- Password reset (密码重置)_箭雨镜屋-CS
WebGoat笔记】
tzh2009的专栏
06-19 3445
文章来源:http://www.cnblogs.com/jonniexie/category/250726.html 主要内容:WebGoat的安装(略),内部访问方法与后续需要使用的Firebug的一些功能一.WebGoat安装(略)与访问二.浏览器推荐使用Firefox(1)FireBug安装(2)定位查看页面元素(3)Js调试 
webgoat全关教程手册
热门推荐
黑白的博客
11-08 5万+
Webgoat&Webwolf owaspbwa里面的两个服务 搭建 先要安装jdk、Webgoat和Webwolf Webgoat和Webwolf jdk1.8不支持了,需要安装jdk11 去git上下载Webgoat和Webwolf https://github.com/WebGoat/WebGoat/releases/tag/v8.0.0.M26 去oracle官网下载JDK https://www.oracle.com/java/technologies/javase-jdk11-down
Webgoat学习笔记
weixin_33847182的博客
03-08 1748
Alan.Li · 2016/03/11 16:230x00 安装WebGoat的版本区别WebGoat是一个渗透破解的习题教程,分为简单版和开发版,GitHub地址.简单版安装简单版是个JAVA的Jar包,只需要有Java环境,然后在命令行里执行#!bash java -jar webgoat-container-7.0.1-war-exec.jar 复制代码然后就可以访问"127.0.0.1:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值