跨站请求伪造——CSRF攻击实验报告

最新推荐文章于 2025-03-08 11:22:49 发布
最新推荐文章于 2025-03-08 11:22:49 发布
阅读量2.4k 收藏 11
点赞数 2
分类专栏: 网安实训 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shshuahw/article/details/119532637
版权
本文是一篇关于跨站请求伪造(CSRF)的实验报告,详细介绍了如何通过GET和POST报文实施攻击。实验中,通过docker搭建环境,模拟了攻击者如何利用受害者的账户执行添加好友和修改个人信息的操作,揭示了Web安全中的CSRF威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

跨站请求伪造是Web安全中最基础的一个实验,由于现在网站的防护措施做的比较完善,已经不怎么能见到这种攻击了,更多的是下一篇博客所讲述的跨站脚本攻击(XSS)
这个实验比较简单,所以百分之五十的时间花在摸索docker的使用上。。

一.环境搭建

1.搭建docker并获得docker下的shell

创建docker镜像
在这里插入图片描述
由下图可见docker镜像创建成功,接下来启动docker
在这里插入图片描述

输入dockps查看攻击者的容器id,输入docksh id获得docker下的一个shell
在这里插入图片描述

2.修改配置文件/etc/hosts

加入以下内容

10.9.0.5 www.seed-server.com
10.9.0.5 www.example32.com
10.9.0.105 www.attacker32.com

二.任务

1.使用GET报文进行攻击

<
最低0.47元/天 解锁文章
csrf实验
weixin_33708432的博客
06-22 552
CSRF攻击实验 CSRF攻击涉及用户受害者,受信任的网站和恶意网站。当受害者与受信任的站点拥有一个活跃的会话同时,如果访问恶意网站,恶意网站会注入一个HTTP请求到为受信任的站点,从而破话用户的信息。 CSRF 攻击总是涉及到三个角色:信赖的网站(Collabtive)、受害者的 session 或 cookie 以及一个恶意网站。受害...
CSRF漏洞实验报告
cxrpty的博客
02-25 1991
实验环境:DVWA、Apache 实验原理: CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的身份(cookie)完成攻击行为 实验内容: 实验一:修改密码(低级别DVWA) 1.构造一个网址:http://192.168.1.101/1.html ht...
一文读懂跨站请求伪造CSRF攻击及防御--安全基础系列
最新发布
HUANGXIN9898的博客
03-08 800
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
DVWA 实验报告:3、跨站请求伪造 CSRF
看那白熊
05-14 1808
跨站请求伪造的复现
CSRF 攻击实验:无防御措施的 CSRF 漏洞
Flag少侠的博客
05-14 1997
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
安全测试之 CSRF 跨站请求伪造
测试界的彭于晏的博客
03-25 6300
CSRF 攻击 CSRF 跨站请求伪造 (Cross—Site Request Forgery):大概可以理解为攻击者盗用了你的身份,以你的名义在恶意网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,甚至于购买商品、转账等。 例如:Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。 CSRF 攻击攻击原理及过程如下: 1.用户 C 打开浏览
东南大学网络空间安全实验基础——跨站请求伪造攻击实验
07-07
实验报告主要讲述了跨站请求伪造攻击CSRF)的原理和防御方法。CSRF 攻击是一种常见的网络攻击方式,攻击者可以通过欺骗用户来访问恶意网站,从而达到攻击目的。 一、实验内容 Task 1:观察 HTTP 请求使用...
华中科技大学信息系统安全实验报告.zip
06-11
这包括输入验证、会话管理、跨站请求伪造CSRF)、敏感数据泄露等常见问题,以及相应的防护手段,如使用Content Security Policy(CSP)和实施安全的cookie策略。 区块链技术的引入为信息安全带来了新的视角。报告...
许昌学院《Web安全实验报告答案(未按顺序).pdf
08-17
本次实验主要涉及的是Web安全中的一个特定威胁——CSRF(Cross-Site Request Forgery,跨站请求伪造)。CSRF攻击是一种允许攻击者通过受害者在已登录的Web应用程序中的身份执行非预期操作的攻击方式。这种攻击通常...
永安在线鬼谷实验室——业务安全蓝军测评标准.pdf
03-09
- 跨站请求伪造CSRF- 文件上传漏洞 -安全的对象引用 - 安全配置错误 - 跨域资源共享问题(CORS) - 认证与授权缺陷 3. 测评步骤可能包括: - 定义测评目标和范围 - 识别关键资产和敏感数据 - 漏洞...
【burpsuite安全练兵场-客户端12】跨站请求伪造CSRF-12个实验(全)
wangluoanquan111的博客
03-19 1967
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在优快云永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:优快云网络安全领域优质创作者,2022年双十一业务安全保卫战-
CSRF攻击实验 ——合天网安实验室学习笔记
weixin_42582241的博客
02-27 2463
实验链接 本实验以PHP和Mysql为环境,展示了CSRF攻击的原理和攻击过程。通过实验结果结合对攻击代码的分析,可更直观清晰地认识到Web安全里这种常见的攻击方式。 链接:http://www.hetianlab.com/expc.do?ce=5984201a-5b7e-42c2-959b-6e4cdfdb932c 实验简介 实验所属系列:web攻防 实验对象:本科/专科信息安全专业 实验类别:...
CSRF——跨站请求伪造攻击
peanut5036的博客
12-04 1274
一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。
实验3:跨站攻击CSRF
weixin_52363821的博客
04-15 1598
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。与xss的区别:csrf是借助用户的权限完成攻击攻击者并没有拿到权限;而xss是直接盗取用户权限去进行破坏。先修改等级为low进入到CSRF页面查看网页源代码可以看到并没有隐藏的token。
CSRF跨站请求伪造攻击+案例分析
ylf13的专栏
07-27 3163
最近在拜读《web前端黑客技术揭秘》,不是想学
CSRF--跨站请求伪造
weixin_44940180的博客
08-11 226
原理 攻击者盗用身份以用户名义发送恶意请求 可能用到的标签 <link href=" "> <img src=" "> <iframe src=" "> <script src=" "> csrf与xss的区别 GET 分析源码可以看出来检查了 HTTP_REFERER中是否包含SERVER_NAME 所以不能随意构造一个URL诱使管理员点击 所以,我们可以将攻击页面命名为192.168.3.3.html就可以绕过了 原本数据库中管理员的密码为
CSRF攻击
weixin_30809173的博客
07-10 275
CSRF攻击 1. CSRF Attack using GET Request 这个实验只需要让Alice的Session响应/action/friends/add这个Servlet就可以了,所以在Alice的profile中嵌入发送该Servlet的GET请求就好,具体HTML代码如下: 然后Firefox这个笨蛋浏览器真蠢,渲染很渣(iframe),但不影响我们的实验,渲染效果居然是这样的,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值