DVWA靶场第三关 CSRF（low级）

最新推荐文章于 2025-06-22 09:02:40 发布

等花开～

最新推荐文章于 2025-06-22 09:02:40 发布

阅读量2.6k

点赞数

CC 4.0 BY-SA版权

文章标签： csrf 前端安全

本文链接：https://blog.youkuaiyun.com/weixin_61178511/article/details/122746285

本文介绍了一种名为CSRF（跨站请求伪造）的安全攻击，并详细展示了如何设置一个简单的实验环境来模拟这种攻击，包括如何使用BurpSuite进行抓包及构造攻击POC，最后验证了攻击的成功。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

CSRF的中文叫：”跨站请求攻击“，它是通过仿照某一个特殊的网页（重置密码）来进行诱惑性攻击。

首先，更改难度为low级，打开浏览器代理，打开Burp Suite进行抓包，输入要修改的密码。呈现如下页面。

可以看到进行构造的poc，然后点击行动->相关工具->CSRF Poc 生成进行攻击poc

点击用浏览器测试，出现如上框，进行复制，再打开页面进入如下网页

点击Submit request完成攻击，然后直接放包即可

登录查看旧密码已失效。即更改成功

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

等花开～

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

DVWA靶场练习三—CSRF

afei001

05-04

819

CSRF介绍 CSRF跨站点请求伪造（Cross-Site Request Forgery）是一种攻击，它迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。CSRF攻击专门针对状态更改请求而不是数据窃取，因为攻击者无法看到对伪造请求的响应。在社交工程的一点帮助下（例如通过电子邮件或聊天发送链接），攻击者可能会欺骗Web应用程序的用户执行攻击者选择的操作。如果...

DVWA 靶场CSRF（low）

qq_14902381的博客

08-15

1613

dvwa靶场，csrf利用

参与评论您还未登录，请先登录后发表或查看评论

DVWA——CSRF(low)

分享简单的安全技术

01-04

360

CSRF 界面源代码 <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do!

渗透入门系列-DVWA靶场实战通关教程（Low等级一到七关--保姆级详细版）

最新发布

ping204568238的博客

06-22

1131

暴力破解利用BurpSuite自动化尝试用户名密码组合，通过集束炸弹模式加载字典爆破凭证；命令注入通过拼接特殊字符（如|或&）在输入中嵌入系统指令，例如127.0.0.1 | dir实现目录遍历；CSRF攻击构造恶意URL（如包含password_new=123&Change=Change）诱骗用户点击以非授权修改密码；文件包含漏洞因未过滤page参数，可通过?page=../../etc/passwd读取服务器敏感文件或远程执行代码；文件上传功能未校验文件类型。

DVWA_CSRF_low

qq_45434762的博客

10-17

324

1.CSRF简介 CSRF(Cross Site Request Forgery:跨站请求伪造)，攻击者盗用合法的用户身份，以合法用户的名义去发出恶意请求，但这对服务器来说确识完全合法的，通过CSRF可以完成密码重置，管理员账户添加，转账等高位操作。 2.DVWA_CSRF_low延时 ①在输入框内输入password ②使用BP拦截，并构造CSRF POC ③构造出的HTML...

dvwa靶场通关（三）

qq_65950075的博客

05-29

841

csrf跨站请求伪造：是一种对网站的恶意利用。尽管听起来像跨站脚本，但它与xss非常不同，xss利用站点内受信任用户，而csrf则通过伪造来自受信任用户的请求来利用受信任的网站，与xss攻击相比，csrf则通过伪装来自受信任用户的请求来利用受信任的网站。与xss攻击相比，csrf攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比xss更具危险性。本质来说就是在你访问网站信息的同时，盗用你的cookie，用你的身份进行一些非法操作。

DVWA 靶场CSRF(跨站请求伪造)

qq_43508668的博客

04-10

330

靶场CSRFlowMiddle low <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do!

DVWA靶场通关----（三）CSRF

m0_74977101的博客

02-04

903

攻击者诱骗用户浏览器向目标网站发送一个“伪造的请求”（如转账、修改密码），利用用户已登录的会话权限完成恶意操作。

DVWA 靶场CSRF通关

m0_65761158的博客

07-10

827

添加了一个generateSessionToken()函数，用户每次访问修改密码时服务器会返回一个随机的token，向服务器发起请求时，需要提交token参数，而服务器在收到请求时，会优先检查token，只有token正确，才会处理客户端的请求。服务器收到修改密码的请求后，会检查参数password_new与password_conf是否相同，如果相同，就会修改密码。修改密码abc123之后就会在地址栏出现相应的链接可以发现是get型所以提交的参数会所以显示，并提示密码修改成功。可以看到密码已修改成功。

DVWA靶场通关----(3) CSRF教程

2401_84968612的博客

05-12

616

}?> 404 file not found. ``` 这样的话，当我们打开 1.html 文件的时候，密码就会被修改成123456，（诱骗受害者点击这个1.html文件） Medium级别的代码检查了保留变量 HTTP_REFERER（http包头的Referer参数的值，表示来源地址）中是否包含SERVER_NAME（http包头的Host参数，及要访问的主机名，这里是127.0.0.3），希望通过这种机制抵御CSRF攻击。其实意思是这个referer中只要出现Host就可以正常操作恶意网站中是这样的

DVWA靶机通关攻略第三关——CSRF攻击

小飞飞的博客

03-09

1291

DVWA靶机通关攻略请求伪造详细教学

学习笔记 DVWA 第三关

2301_81996692的博客

03-01

549

首先查看源代码：先输入一个不一致的密码，观察页面变化发现我们填入的密码直接显示在上方的url中。尝试在url中直接修改密码：发现显示密码修改成功。登录验证一下：登录成功。

dvwa- CSRF（low）

Nothing-one的博客

05-24

166

标题第三个模块和以前一样进行php源码的观看。这个其实也就是观察password_new和password_conf是否相等。伪造一个链接然后在浏览器里面进行访问。在dvwa的这个界面中的网址的后面加上?password_new=password&password_conf=password&Change=Change# 修改后的密码就是password。 ...

DVWA靶场系列（二）—— CSRF（跨站请求伪造）

qq_45612828的博客

07-10

1962

DVWA靶场系列（二）—— CSRF（跨站请求伪造）

DVWA关卡3：Cross Site Request Forgery (CSRF)（跨站请求伪造）

m0_54899775的博客

12-06

790

DVWA关卡3：Cross Site Request Forgery (CSRF)（跨站点请求伪造）跨站点请求伪造

DVWA靶场-CSRF 跨站请求伪造

安全知识学习-该平台为唯一原作者平台，其他平台属冒名顶替，请勿相信上当受骗

06-03

1385

往期博文： DVWA靶场-Brute Force Source 暴力破解 DVWA靶场-Command Injection 命令注入靶场环境搭建 https://github.com/ethicalhack3r/DVWA [网络安全学习篇附]：DVWA 靶场搭建目录 CSRF 跨站请求伪造 Low CSRF 核心代码 1、短网址 2、配合XSS Medium CSRF 核心代码绕过referer检测 High CSRF 核心代码 Impossible CSR.

Dvwa csrf之low、medium、high级别漏洞实战

永不垂头的博客

08-11

6190

Dvwa csrf低中高级别漏洞实战 Low 源代码如下： GLOBALS：引用全局作用域中可用的全部变量。GLOBALS ：引用全局作用域中可用的全部变量。GLOBALS：引用全局作用域中可用的全部变量。GLOBALS 这种全局变量用于在 PHP 脚本中的任意位置访问全局变量（从函数或方法中均可）。PHP 在名为 $GLOBALS[index] 的数组中存储了所有全局变量。变量的名字就是数组的键。从源代码可以看出这里只是对用户输入的两个密码进行判断，看是否相等。不相等就提示密码不匹配。相等的话，查看

DVWA靶场-CSRF

zeroone的博客

01-15

2810

第三关：CSRF（跨站请求伪造漏洞） CSRF，全称Cross-site request forgery，跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等） Low <?php if( isset( $_GET[ 'Change' ] ) ) {

dvwa靶场第七关

03-30

嗯，用户需要关于DVWA靶场第七关的解决方案或教程。首先，我需要确认DVWA的各个关卡设置。DVWA通常有多个安全级别的挑战，比如Low、Medium、High和Impossible。第七关可能对应的是某个特定安全级别的问题，但用户...