WebGoat (A8:2013) Request Forgeries -- Cross-Site Request Forgeries

WebGoat CSRF攻防实战:获取旗子与防御策略
最新推荐文章于 2024-10-10 13:40:52 发布
原创 最新推荐文章于 2024-10-10 13:40:52 发布 · 2.4k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #csrf #html #靶机 #json

本文指导如何利用WebGoat中的CSRF漏洞完成习题,包括触发请求获取flag、模拟用户评论、构造JSON消息,并介绍CSRF攻击原理、防御措施及实战技巧。

目录

一、习题通关

第3页

第4页

第7页

第8页

二、热乎的知识

一、习题通关

第3页

任务:下图的提交按钮会发送一个请求,这题的要求是在webgoat用户登录的情况下,从其他网站触发这个请求,以获取flag,提交flag即可通关。

前提:(1)webgoat用户需要登录(2)触发评论的页面需要在webgoat登录的浏览器上打开

解题步骤:

首先注意这页有个狼的图标,表示可以借助webwolf。其实不借助也可以,自己可以简单起个http服务(比如用python)。这里还是用webwolf演示,关于webwolf的安装和使用见WebGoat (A2) Broken Authentication -- Password reset (密码重置)_箭雨镜屋-优快云博客

1、首先在提交按钮上点鼠标右键,再点 检查 ,可以看到一个隐藏的表单

2、在form标签上点鼠标右键,选copy --> copy element,然后到notepad++等编辑器中粘贴一下。

3、整理一下form,主要是注意下图红框里面,action的值要把url补全

4、把上图中的html代码保存为3.html,并上传到webwolf,然后点它同一行右边的link

5、点一下提交按钮,得到flag,webgoat中输入flag并提交即可通关

<

最低0.47元/天 解锁文章
WebGoat (A8:2013) Request Forgeries -- Server-Side Request Forgery
箭雨镜屋
06-18 1238
一、习题通关 第2页 这题很简单,而且有两种解法 解法1 浏览器开发者工具 二、课程知识
WebGoatV8.1(A8 2013Request Forgery)详细过关教程
weixin_51566481的博客
08-29 712
WebGoatRequest Forgery
WebGoat学习——跨站请求伪造(Cross Site Request Forgery (CSRF)
weixin_34326429的博客
06-21 536
跨站请求伪造(Cross Site Request Forgery (CSRF)) 跨站请求伪造(Cross Site Request Forgery (CSRF))也被称为:one click attack/session riding,缩写为:CSRF/XSRF,是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击人员通过一些手段让终端用户点击存在攻击...
Cross-site request forgery简介
dkoq40185的博客
10-24 548
  Cross-site request forgery:跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比...
PHP漏洞全解()-跨网站请求伪造
老鹰之歌的学习笔记
09-21 1959
本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的 HTTP 请求,事实上,跟踪一个用户发送的 HTTP 请求才是攻击者的目的。 CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网
webgoat-Request Forgeries 请求伪造
seanyang_的博客
11-07 1470
跨站请求伪造,又称一键攻击或会话骑乘,简称CSRF (有时发音为 sea-surf)或 XSRF,是一种恶意利用网站,其中传输未经授权的命令 来自网站信任的用户。与跨站点脚本 (XSS) 不同,XSS 利用用户对特定站点的信任,CSRF 利用网站对用户浏览器的信任。这是最简单的 CSRF 攻击。如果用户仍然登录到 bank.com 的网站,这个简单的GET请求会将资金从一个账户转移到另一个账户。当然,在大多数情况下,网站可能很多控制来限制这样的请求。
root@ubuntu2204:/usr/local/webgoat# kill -9 115870 -bash: kill: (115870) - No such process
最新发布
04-10
好的,用户遇到了在Ubuntu系统中使用kill命令时出现“No such process”错误的问题,需要帮助解决。首先,我需要分析可能的原因和解决方法。 首先,用户可能输入了错误的PID,导致系统找不到对应的进程。...
精选资源
webgoat-server-8.2.1
09-02
webgoat-server-8.2.1
代码审计(Java)——WebGoat_RequestForgeries
weixin_45260839的博客
09-16 443
代码审计(Java)——WebGoat_RequestForgeries
Cross-Site-Request-Forgery
m0_37820751的博客
01-08 1265
攻击者诱使用户访问一个包含恶意请求的网页,当用户浏览该网页时,该请求会利用用户在目标网站上的认证信息(如Cookies)来伪装用户进行操作。CSRFCross-site request forgery)是一种网络攻击方法,中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。例如,我在自己的文章里放一段代码,接口假设是关注的GET接口。
WebGoat使用说明
06-21
网络攻防课程教材,中文版的webgoat使用说明
webgoat
03-16
WebGoat:故意不安全的Web应用程序 重要信息 WebGoat课程服务器当前处于主要开发阶段。 从2016年2月1日起,版本“ 7.0.1”被视为主要体系结构和UI更改的第一个STABLE版本。 WebGoat的旧版/旧版可以在以下找到: WebGoat是由维护的故意不安全的Web应用程序,旨在教授Web应用程序安全性课程。 该程序演示了常见的服务器端应用程序缺陷。 这些练习旨在供人们用来学习应用程序安全性和渗透测试技术。 警告1:在运行该程序时,您的计算机极易受到攻击。 使用此程序时,应断开与Internet的连接。 WebGoat的默认配置绑定到本地主机,以最大程度地减少暴露。 警告2:此程序仅用于教育目的。 如果未经授权尝试使用这些技术,很可能会被抓住。 如果您被发现从事未经授权的黑客攻击,大多数公司都会开除您。 声称您正在进行安全性研究不会奏效,因为这是所有黑客都宣称
CSRF(Cross-site request forgery)
sh0rk的博客
11-11 1905
CSRF什么是CSRF利用方法进阶防御 什么是CSRF CSRFCross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 利用方法 index.jsp &lt;html&gt; &lt;head&gt; &lt;title&gt;CSRF Te...
跨站请求伪造(CSRFCross-Site Request Forgery)
坚定目标,超越自我
10-10 3451
由于跨站请求通常无法携带自定义头信息,因此检查请求中是否包含自定义头可以作为一种防御手段。使用自定义请求头是一种防御跨站请求伪造(CSRF)攻击的技术。这种方法的基本思想是在客户端的请求中添加一个自定义的HTTP头部(Header),服务器端检查这个头部以验证请求的合法性。由于跨站请求通常无法设置自定义头部,这为服务器提供了一种简单的验证机制。
Cross-site request forgery攻击方式
qq_41499808的博客
09-21 4144
一.CSRF是什么? CSRFCross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
dvwa第五题:cross site request forgery
yuqangy的专栏
02-14 560
跨站请求伪造 csrf是一种诱导获得身份认证的终端用户执行一个他意想不到的动作的方法,在一个web应用程序。他可以用来指定一个特定的状态改变请求,而不是盗取数据,因为无法获得请求返回的数据。攻击者可以利用社会(社交)工程学,比如发送一个email链接或者聊天,来欺骗受害者执行他们想要的动作。 大多数框架具有内置的CSRF支持,例如Joomla,Spring,Struts,Ruby on...
WebGoat8.2.2-A8不安全的反序列化
weixin_45032957的博客
12-02 721
1、概念 使用反序列化在各编程语言中略有不同,如Java、PHP、Python、Ruby、C/C++等等,但在关键概念上是一样的 序列化:将(内存中的)对象转化成数据格式,以便存储或传输 反序列化:即序列化的反过程,从某种格式的数据中构建对象 如今最受欢迎的序列化数据格式是JSON,而在这之前是XML,只有数据是序列化的,而代码本身不是 2、Native Serialization-本地序列化/客制序列化 一些编程语言提供了自己的序列化功能,所使用的数据格式比一般的JSON或XML拥有更多的特性和功能,甚至
WebGoat——CSRF
OOM
07-26 3145
1、CSRF 介绍参见:http://blog.youkuaiyun.com/yu422560654/article/details/7789167 题意:书写一个URL诱使其他用户点击,从而触发CSRF攻击。 解题:以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,其他用户一旦点击图片,就会触发一个CSRF事件。 代码如下: 2、
Webgoat-CSRF/SSRF
hee_mee的博客
07-21 1354
zeroNil
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值