CSRF(get)实验演示

最新推荐文章于 2025-06-10 11:01:11 发布
最新推荐文章于 2025-06-10 11:01:11 发布
阅读量2.6k 收藏
点赞数
本文介绍了get型CSRF的攻击过程。先登录购物网站修改个人信息,通过查看数据包确认网站是否有CSRF漏洞。若未做防CSRF措施,攻击者可拿到请求链接,将其发送给处于登录态的用户,用户访问后个人信息就会被修改。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先打开CSRF(get)
在这里插入图片描述
1.登录我们自己设置的购物网站,点击“提示”可以看到。
在这里插入图片描述
登录的时候可以来到个人中心,可以看到自己的个人信息,如果可以改他的住址直接改就可以了,点击“提交”,这个地址就改了
在这里插入图片描述
2.确认我们的网站是否有CSRF漏洞:首先敏感信息的修改,我们可以通过bug信息的数据包来看一下
在这里插入图片描述
3.把get请求复制一下,粘贴到编辑器,我们可以看到这个请求是向后台发送了这些信息的参数,然后再点击“提交”,在提交这个参数里面并没有看到CSRF

也就是说这个时候应该没有做防CSRF的措施,也是通过get请求进行提交的
根据攻击者的想法,他会拿到这个链接,他拿到这个请求应很简单,他自己注册一个账号,然后登录,改一下地址,就能拿到这个链接,当他改地址时,他通过邮件或是聊天工具发给lucy

在这里插入图片描述在这里插入图片描述
4.这是一个完整的uil,把以下的请求复制一下,假设这是攻击者伪造的链接发送给Lucy,Lucy目前的住址是武汉,她正是登录态的,当她收到攻击者的聊天信息,她会把这个聊天信息去访问一下,这个时候她的个人信息就已经被修改了,但是攻击者的信息还是她原先自己的信息。
在这里插入图片描述
这就是get型的CSRF。

布丁^
关注
PHP 类__get函数实验
游牧小小诗人
01-03 1169
<?php #doc # classname: test_class # scope: PUBLIC # #/doc class test_class { private $name; public $name2; private $age; function __construct($name = 'test', $name2 = 'test',
【第九周】通过csrfget)进行地址修改实验演示、token详解及常见防范措施、远程命令、代码执行漏洞原理及案例演示 等等
weixin_44722125的博客
05-05 628
通过csrfget)进行地址修改实验演示 先登陆一下 修改地址 submit即可修改 如何确认此处是否存在CSRF漏洞 首先这是一个敏感信息修改,其次看下burp数据包 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=shenyang&email=...
CSRF demo代码
02-04
在 http://www.cnblogs.com/strick/p/6364097.html 有说明
csrf(get)
weixin_50887021的博客
06-20 622
csrf简介实验csrf (get) 简介 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作 的攻击方法。 简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是
CSRF漏洞原理攻击与防御(非常细)
最新发布
QXXXD的博客
06-10 1063
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRFget)操作演示--pikachu
weixin_45873667的博客
05-19 211
先登录进入到会员界面,用户名和密码是kobe和123456. 我们修改个人信息,这里我们修改住址信息:改为wuhan,点击提交。 那我们如何确认这个地方是否存在CSRF漏洞呢?可以知道这是一个敏感信息的修改。 通过抓包查看到我们刚刚提交的修改信息。 将其中的get信息复制下来。 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=15988767673&add=wuhan&email=kobe%40pik.
CSRF详解及其利用方式(get方式)
读书 买花 长大
11-28 2097
CSRF-csrf
CSRF攻击实验与防范
CSRF攻击简介 CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种网络攻击方式。在CSRF攻击中,攻击者通过已认证用户的身份,在用户不知情的情况下向目标网站发送恶意请求,以达到攻击者的恶意目的。 ## ...
[实验]csrf dvwa
foolisheddy
03-21 2925
dvwa low 级别测试 源代码 构造链接 dvwa medium 级别测试 源代码 漏洞利用 dvwa high 级别测试 源代码 漏洞利用 dvwa Impossible 级别测试 源代码 漏洞利用 参考list tips 新知识点清单 token php语法 语法作用 短链接 Anti-CSRF token机制 授权与未授权 请求域与Cookie信息所指定的域域dvwa low 级别测试:源
dvwa之csrf
qq_17762247的博客
05-15 460
一、简介 CSRF是指在受害人不知情的情况下,以其身份向服务器发送服务器发送请求,从而执行非法操作(转账,改密等)。以转账为例,受害人A使用浏览器登录某银行网站B完成查看余额操作后,在未退出的情况下访问了攻击网站C,C利用浏览器中的Session伪造转账请求发送给B,由于B发现该转账请求包含用户登录信息,转账成功。Cross-site是指受害者在访问网站C时给网站B发送了请求,request forgery是指该请求是网站C伪造的,并不是A的本意。 二、Low 1、服务器端代码 <?php if(
WEB漏洞——CSRF
qq_63594215的博客
04-11 1068
这次我来讲讲web漏洞的CSRF笔记总结,主要通过原理、类型、示例以及防御的角度展开说明,希望读者受益。CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。CSRF是通过伪装用户的请求来利用网站,利用网站漏洞从用户那里盗取信息说白了,就是攻击者盗用了你的身份,以你的名义发送恶意请求。
pikachu--CSRF实验演练
m0_54024658的博客
06-18 532
CSRF概述 Cross-site request forgery 简称为“CSRF”,中文名称==跨站请求伪造==在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 CSRF与XSS的区别 CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的
pikachu csrf(get)
ANYOUZHEN的博客
05-04 464
抓包,观察get里面的内容,add表示地址的意思,将地址修改为beijing,然后将url替换get,完成伪装,只要让对方点击改伪造链接,即可达成修改地址的目的
csrfget和post方式的利用
mastergu2的博客
08-10 7807
CSRF的简单介绍 引用一下pikachu的官方描述: CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 这里列举一个场景解释一下,希望能够帮
跨站点请求伪造 (CSRF):影响、示例和预防
allway2的博客
07-18 1386
在此设置中,攻击者可以使用应用程序的预期格式创建一个包含令牌的cookie,将其放置在用户的浏览器中,然后执行CSRF攻击。然后网站将在处理发送的请求之前验证此令牌的出现,如果令牌丢失或值不正确,则请求将被拒绝,攻击者将无法发起CSRF攻击。如果受感染的用户在应用程序中具有特权角色,攻击者可能能够完全控制应用程序的所有功能和数据,这对企业和用户来说都是毁灭性的。然而,这个假设并不总是正确的。颁发令牌后,当客户端发出请求时,服务器会检查请求是否包含预期的令牌,如果令牌丢失或无效,则拒绝它。......
CSRF
Le0nis的博客
08-16 666
csrf0x01 介绍CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。 CSRF与XSSXSS:跨站脚本(Cross-site scripting)CSRF:跨站请求伪造(Cross-site request forgery) csrf 通过用户自己的手(用户的浏览器)在用户自
CSRF | GETCSRF 漏洞攻击
Blue17 の 小窝
10-07 2234
例如,攻击者可以创建一个隐藏的 iframe,其中包含对银行网站的转账请求,当用户访问包含该 iframe 的页面时,浏览器会携带用户的会话 Cookie 自动发起转账请求,而用户可能对此还一无所知。GETCSRF 漏洞是指攻击者通过构造恶意的 HTTP GET 请求,利用用户的登录状态,在用户不知情的情况下,诱使浏览器向受信任的网站发送请求,从而执行非用户意图的操作。那么攻击者通过在网页中嵌入下面的代码,并诱导用户访问,当用户访问嵌入了恶意代码的站点时,用户浏览器就自动会向。
python之get请求爬取基础实验(详细备注)
LBOcean的博客
11-21 685
先来简单介绍一下get请求: get这个单词表示得到得意思 当我们点击一个超级连接得时候,浏览器会通过这个超级连接向指定的 服务器发送一个查询字符串 而服务器会查询这个字符串,并分析其查询的内容以读取相应的资源返 回给浏览器,最终浏览器将返回的字符串显示出来 也就是说凡是通过get方法请求的连接我们都可以在url当中,直接看到 其请求的内容 我们选取百度首页为爬取对象,爬取百度首页里面的连接 创建一个txt文本和py文件 一个基础的爬取百度首页连接过程,下面分享给大家 #@Time : 20
【CTF Web】Pikachu CSRF(get) Writeup(CSRF+GET请求+社会工程学)
HEX9CF的技术博客
10-05 1523
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。这里列举一个场景解释一下,希望能够帮助你理解。
CSRF攻击实践:利用GET和POST添加好友
"实验101 - 网络协议 - Cross-Site Request Forgery (CSRF) 攻击详解及实例演示" 实验101主要关注的是网络安全领域的一个重要概念——跨站请求伪造(Cross-Site Request Forgery,简称CSRF)。CSRF是一种网络攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值