CSRF-pikachu

最新推荐文章于 2025-04-29 15:12:28 发布

zhangqqa

最新推荐文章于 2025-04-29 15:12:28 发布

阅读量240

点赞数 2

分类专栏： # pikachu靶场通关文章标签： csrf

本文链接：https://blog.youkuaiyun.com/zhangqqa/article/details/143243486

版权

pikachu靶场通关专栏收录该内容

13 篇文章

订阅专栏

CSRF（get）

输入第一个账号vince/123456

在这里插入图片描述

点击修改信息

在这里插入图片描述

我们看到了vince的原始信息

在这里插入图片描述

现在，我们对个人信息进行修改

在这里插入图片描述

使用burp抓包，可以看到，他修改个人信息的过程中，使用了这么个url地址

http://IP地址/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=123456&add=home&email=hunter%40pikachu.com&submit=submit

成功修改个人信息

在这里插入图片描述

那么，我们登录另外一个账号，kobe/123456

![ 在这里插入图片描述

我们可以看到kobe的原始数据

在这里插入图片描述

我们尝试将上面修改信息的url拼接到这里

在这里插入图片描述

跳转过后，成功修改了kobe的信息，我们并没有主动的进行信息的修改，只是输入了一个url地址

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

zhangqqa

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CSRF攻击-pikachu靶场

qq_43936524的博客

10-10

562

文章目录CSRF概念CSRF原理pikachu实例防范措施 CSRF概念 Cross-Site request forgrey简称CSRF，在CSRF攻击场景中攻击者会伪造一个请求，这个请求一般是链接，用户点击以后整个攻击也就完成了，故CSRF也被称为one click攻击。本质是攻击者盗用了目标用户的身份，以这个身份发送请求。 CSRF原理举例：用户C登录A网站进行购物，攻击者B想把用户A购物的收货地址改为自己的地址，那么攻击者B则需要1.用户C的登录权限 2.向服务器发送更改地址的请求。攻击者B

Pikachu之CSRF

weixin_48621644的博客

10-17

2142

小羊学安全任重而道远~

参与评论您还未登录，请先登录后发表或查看评论

CSRF漏洞 ---pikachu靶场

starhei.zxy的博客

07-24

296

跟上面一样两个浏览器模拟两个用户然后到修改个人信息这一步不一样的是这个post需要抓包。接着F12 查看网络发现csrf部分然后复制发给kobe。burpsuite抓包之后把这些复制下来做成一个html文件。然后vince访问这个文件 vince的信息就被修改了。这个html文件要放在自己服务器网站的www目录下。kobe访问之后内容就被修改成我们的了。然后点击修改个人信息这部分。另一个浏览器登录kobe。

pikachu靶场CSRF-token测试报告

ccc_9wy的博客

10-22

650

pikachu靶场渗透；csrf漏洞复现；web漏洞；网络安全；身份验证；含有token的csrf绕过方法；token泄露；

Pikachu-csrf-CSRF(get)

guanrongl的专栏

10-03

518

就是 get请求的csrf 攻击payload。登陆，修改个人信息；发现这是个get请求。

【pikachu】CSRF-post

weixin_57240513的博客

07-24

255

第一步：登录用户名。

Pikachu靶场之csrf

m0_62438849的博客

09-14

803

csrf是一种在用户已经登录的状态下，通过伪造请求来执行非法操作挖掘：如果没有Referer字段和token，那么极有可能存在CSRF漏洞防范：（1）增加Referer，记录了该 HTTP 请求的来源地址（2）添加 Token，每次用完就失效（3）同源策略SOP，（4）使用验证码，对于敏感操作输入验证码进行验证。

Pikachu-csrf-CSRF(POST)

guanrongl的专栏

10-03

530

拦截抓包，在请求信息中， Engagement Tool --》generate CSRF PoC。打开 poc.html 页面，点击submit request ，即可达成攻击；得到以下 html 代码，生成poc.html 文件，当用户点击。

pikachu靶场CSRF-get测试报告

ccc_9wy的博客

10-16

955

pikachu靶场渗透；csrf漏洞复现；get方式请求；web漏洞；网络安全；身份验证；

pikachu之CSRF

weixin_38720471的博客

01-24

1552

1.原理 1.1CSRF 是 Cross Site Request Forgery 的简称，中文名为跨域请求伪造，在CSRF的攻击场景中，攻击者会伪造一个请求（一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，这个攻击也就完成了，所以CSRF攻击也被称为“one click”攻击。 1.2CSRF攻击需要条件 ① 目标网站没有对修改个人信息修改的请求进行防CSRF处理，导致该请求容易被伪造因此，判断一个网站有没有CSRF漏洞，其实就是判断对关键信息（密码等）的操作（增删改）是否容易被伪

网络安全 - 综合靶场 - PIKACHU 源码包 - pikachu-master.zip

09-22

**PIKACHU 源码包 - pikachu-master.zip** 是一个综合性的网络安全学习平台，它提供了一个模拟的 Web 应用环境，用于学习和实践各种 Web 安全攻防技术。这个源码包通常包含了 PIKACHU 靶场的全部代码，可以部署到...

pikachu-CSRF(跨站请求伪造)

a1245678899的博客

11-10

730

Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。点击修改个人信息然后使用burpsuite抓包可以看到这个数据的传输过程是get型，数据包含在URL之中直接在URL之中构造包含自己信息的网址，伪造一下，诱导用户去点击。当链接被点击以后，可以看到信息已经被修改。

WEB漏洞--CSRF及SSRF案例

2301_80629787的博客

04-29

680

测试过不过审核，不过的话算了

CSRF请求伪造

2401_88816569的博客

04-25

990

CSRF如何绕过验证篡改权限？手把手复现靶场请求伪造流程，拆解Cookie层层分析手把手教会，筑牢Web安全防线！

Spring Security 的 CSRF 防护机制

最新发布

[ta叫我小白]的专栏

04-29

560

Spring Security 中的 .csrf() 是用来开启或配置这种保护机制，防止恶意网站“冒充用户”向你的网站发起请求。

Springboot项目实现简单的 CSRF 防护

qq_33795322的博客

04-29

935

当元素内的提交按钮（或）被点击时，浏览器会自动收集表单内所有具有 name 属性的表单控件（如、、等）的值，并按照特定的格式将这些值组合成请求数据，然后根据元素的 action 和 method 属性来发送 HTTP 请求。这样，在表单提交时，CSRF 令牌就会作为表单数据的一部分被发送到服务器。/deleteLink/**：传输数据的方式为路径变量，双星号 ** 也是通配符，比单星号更强大，能匹配任意数量的路径层级，也就是可以跨层级匹配任意内容，如果使用这种方式传输数据就需要这样写。

Node.js CSRF 保护指南：示例及启用方法

技术超强的网络安全平台

04-27

538

需要注意的是，在需要频繁更改的系统中，有些用户可能会觉得这种多步骤的流程繁琐乏味。受害者，也就是我们这位不懂技术的阿姨，看到了这封邮件，邮件内容是她急需点击邮件中提供的链接，查看银行已标记为可疑的一笔异常交易。例如，当我们的受害者点击恶意链接时，目标 URL 可能会利用新的已验证会话（或者只是登录后打开一个标签页之类的简单操作），对存在漏洞的 Web 应用程序的数据库执行更改。现在我们已经看到，通过使用狡猾的社会工程策略劫持用户的信任来夺取用户的会话并破坏我们的系统是多么容易，让我们来探索一些缓解措施。

PostSwigger 的 CSRF 漏洞总结

anddddoooo的博客

04-27

333

csrf漏洞详解pikachu

12-30

#### Pikachu平台上的CSRF漏洞示例在Pikachu平台上模拟CSRF攻击可以更好地理解这种安全风险。考虑一个场景，在用户的浏览器已经登录了一个合法网站A的情况下： - 用户访问了恶意站点B。 - 恶意站点B包含了指向...