本文介绍了一种利用JavaScript和CSRF(跨站请求伪造)技术进行密码篡改的方法。通过分析目标站点的修改密码请求,使用F12开发者工具获取cookie中的密码信息并更改密码。该方法依赖于用户点击恶意链接,适用于未开启同源策略且未过滤敏感字符的网站。
Javascript CSRF
通过学习过去的漏洞来打开自己挖掘漏洞的思路
谷歌F12可以看到Javascript中cookie存放在document中
通过语法
获取cookie中的指定值
更改用户密码思路如下:
通过F12开发者工具可以看出目标站的修改密码请求为POST请求数据包,下面为伪造POST请求的脚本
编辑超链接脚本,并通过评论上传
192.168.98.195:8081站点即为挂载js脚本的网站
用户点击超链接后密码自动更改为000000。
总结:1.这种平台只能靠搭建,应该不存在这种脑抽的程序员不会将评论区的敏感字符过滤
2.网民警惕意识增强,如何引诱人点击超链接是需要琢磨的
3.开启同源策略的网站,此方法无效(几乎所有网站都开了吧。。。)
4.纯属练习,请各位轻喷
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
