CSRF实验演示

最新推荐文章于 2025-07-16 20:22:38 发布
最新推荐文章于 2025-07-16 20:22:38 发布
阅读量1.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43915842/article/details/89649413
本文通过一个CSRF实验展示了如何利用GET和POST请求进行跨站请求伪造攻击。实验中,作者模拟了攻击者如何篡改受害者(lucy)的住址信息,详细解释了GET型和POST型CSRF的差异,并指出在POST请求的CSRF中,攻击者需构造恶意页面。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们来到pikachu
在这里插入图片描述
在这里插入图片描述
我们先登陆一下lucy
在这里插入图片描述
帮她改个住址玩玩
在这里插入图片描述
我们可以在burp上看到我们刚刚抓得到get请求
在这里插入图片描述
我们能发现这个get请求是向后台发送了所有的参数
所以我们可以根据上次讲的小黑的思路,把地址改成66666,发给lucy
在这里插入图片描述
把地址补全
在这里插入图片描述
那么现在假如lucy在登陆态访问了这个链接
我们发现,这个地址就被改过来了
在这里插入图片描述
刷新以后的页面在这里插入图片描述
因为这是get型的请求,所以这是get型的csrf
但如果是post的请求
我们把地址再改成china
在这里插入图片描述
这时候我们发现这个是在post里面提交的
在这里插入图片描述
这边其实就跟之前的xss post场景是一样的了,需要攻击者去自己构造一个页面。

csrf实验
weixin_33708432的博客
06-22 562
CSRF攻击实验 CSRF攻击涉及用户受害者,受信任的网站和恶意网站。当受害者与受信任的站点拥有一个活跃的会话同时,如果访问恶意网站,恶意网站会注入一个HTTP请求到为受信任的站点,从而破话用户的信息。 CSRF 攻击总是涉及到三个角色:信赖的网站(Collabtive)、受害者的 session 或 cookie 以及一个恶意网站。受害...
SeedLabs-Web安全-CSRF实验
Anonymity
06-23 3341
SeedLabs-Web安全-CSRF实验 文章目录SeedLabs-Web安全-CSRF实验前言一、Task1 熟悉SQL语句1. 观察HTTP请求2.使用基本的SQL语句二、Task2 SQL注入攻击之select2.1 网页SQL注入攻击。2.2 来自命令行的SQL注入攻击。2.3 添加一条新的SQL语句。三、SQL注入攻击之UPDATE3.1 修改自己的薪水。3.2 修改他人工资四、Countermeasure — Prepared Statement 前言 CSRF注入的实验记录 提示:以
CSRF检测工具
12-09
CSRFTester是一款CSRF检测工具 .
CSRFTester自动化测试工具
最新发布
weixin_47787558的博客
07-16 202
CSRFTester是一款CSRF漏洞的测试工具,运行在windows上。
测试CSRF
XiaoLai308的专栏
12-03 364
插入代码
php web开发安全之csrf攻击的简单演示和防范(一)
weixin_30614587的博客
05-06 186
csrf攻击,即cross site request forgery跨站(域名)请求伪造,这里的forgery就是伪造的意思。网上有很多关于csrf的介绍,比如一位前辈的文章浅谈CSRF攻击方式,参考这篇文章简单解释下:csrf 攻击能够实现依赖于这样一个简单的事实:我们在用浏览器浏览网页时通常会打开好几个浏览器标签(或窗口),假如我们登录了一个站点A,站点A如果是通过cookie来跟踪用户的会话...
dvwa的csrf实验
05-16
DVWA是一个用于测试Web应用程序安全性的漏洞测试平台,其中包括了一些常见的Web安全漏洞实验,其中包括CSRF攻击实验。下面是实现DVWA的CSRF攻击的步骤: ...请注意,这只是一个演示实验,不要在生产环境中使用。
[实验]csrf dvwa
foolisheddy
03-21 2925
dvwa low 级别测试 源代码 构造链接 dvwa medium 级别测试 源代码 漏洞利用 dvwa high 级别测试 源代码 漏洞利用 dvwa Impossible 级别测试 源代码 漏洞利用 参考list tips 新知识点清单 token php语法 语法作用 短链接 Anti-CSRF token机制 授权与未授权 请求域与Cookie信息所指定的域域dvwa low 级别测试:源
DVWA CSRF 漏洞实践报告
聚焦网络安全,以多元语言优势汲取知识,分享生动有趣的学习与技术心得。
10-13 2339
CSRF(跨站请求伪造)是一种攻击,使得攻击者能够以受害者的身份执行非预期的操作。在靶场DVWA中,我将尝试通过CSRF漏洞更改管理员密码。
【第九周】通过csrf(get)进行地址修改实验演示、token详解及常见防范措施、远程命令、代码执行漏洞原理及案例演示 等等
weixin_44722125的博客
05-05 628
通过csrf(get)进行地址修改实验演示 先登陆一下 修改地址 submit即可修改 如何确认此处是否存在CSRF漏洞 首先这是一个敏感信息修改,其次看下burp数据包 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=shenyang&email=...
DVWA靶场通关----(3) CSRF教程
2401_84968612的博客
05-12 619
}?> 404 file not found. ``` 这样的话,当我们打开 1.html 文件的时候,密码就会被修改成123456,(诱骗受害者点击这个1.html文件) Medium级别的代码检查了保留变量 HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数,及要访问的主机名,这里是127.0.0.3),希望通过这种机制抵御CSRF攻击。其实意思是这个referer中只要出现Host就可以正常操作恶意网站中是这样的
安全测试-CSRF测试
Fems_123_的博客
11-18 547
CSRF测试--HW测试测试指导
真实环境的一次CSRF测试
xiaopan233的博客
03-27 992
CSRF能够成功的关键就是利用受害者在指定网站中的Session或者Cookie。因为在同一个浏览器中。Session是通用的。如果我们的页面向指定网站发送请求。使用的就是受害者在该网站中的Session或Cookie。从而达到伪造用户请求的攻击。 借用百度一张图 回归正题 在个人设置中。如果发现修改密码的时候不用输入原密码。这种样子很不安全。因为我们只需要构造一个页面,诱使用...
pikachu--CSRF实验演练
m0_54024658的博客
06-18 532
CSRF概述 Cross-site request forgery 简称为“CSRF”,中文名称==跨站请求伪造==CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 CSRF与XSS的区别 CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的
跨站请求伪造(CSRF)测试
无极低码
03-30 473
创建一个恶意网页或应用程序,其中包含指向目标API端点的请求,这些请求在用户访问恶意页面时自动执行。请求中应包含所有必要的认证信息,如Cookie、Token或会话ID,这些信息通常由用户的浏览器自动发送。利用自动化工具,如Burp Suite的CSRF Scanner、OWASP ZAP等,可以帮助发现和验证CSRF漏洞。审查Web应用程序的所有API端点,特别是那些执行敏感操作的端点,如账户设置、资金转移、权限更改等。分析漏洞的严重性,考虑其对用户安全的潜在影响,并确定修复的优先级。
CSRF攻击实验 ——合天网安实验室学习笔记
weixin_42582241的博客
02-27 2517
实验链接 本实验以PHP和Mysql为环境,展示了CSRF攻击的原理和攻击过程。通过实验结果结合对攻击代码的分析,可更直观清晰地认识到Web安全里这种常见的攻击方式。 链接:http://www.hetianlab.com/expc.do?ce=5984201a-5b7e-42c2-959b-6e4cdfdb932c 实验简介 实验所属系列:web攻防 实验对象:本科/专科信息安全专业 实验类别:...
跨站请求伪造—CSRF
FEWY的博客
11-26 966
CSRF 介绍 CSRF,是跨站请求伪造(Cross Site Request Forgery)的缩写,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。 CSRF 攻击示例 这里有一个网站,用户可以看...
CSRF的检测与防御笔记
Yisitelz的博客
08-05 790
CSRF的检测,常用的有手动检测和半自动检测。CSRF的防御包括二次确认:验证码、再次询问;Referer Check;Anti CSRF Token。防御主要是依靠Anti CSRF Token
CSRF 的攻击过程
文摘资讯
07-23 336
登录态 Cookie 的 Key 是浏览器默认自动携带的,Key 通常是会话 Cookie,只要浏览器不关闭,Key 一直存在。所以只要用户 A 曾经登录过相册网站(这里用http://www.photo.com举例),浏览器没有关闭,用户在没有关闭的浏览器打开一个黑客网页(这里用http://www.hacker.com),黑客页面发送 HTTP 请求到http...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值