【Burp入门第十二篇】使用BurpSuite实现CSRF+修改邮箱实战案例

已于 2024-05-24 14:40:23 修改
阅读量875 收藏
点赞数
分类专栏: BurpSuite入门教程 文章标签: csrf BurpSuite 渗透工具
于 2024-04-06 15:56:19 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/137430499
版权

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |CSDN秋说】

在这里插入图片描述

CSRF存在前提:简单的身份验证只能保证请求是发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的

业务场景:新增、删除、收藏、编辑、保存

使用Burp发现CSRF漏洞的过程如下。

1、如图,存在修改邮箱的功能点如下:

在这里插入图片描述

2、修改邮箱的流量包,此时邮箱已被修改:

在这里插入图片描述

思路:是否存在简单的身份验证?能否实现CSRF?

3、选中参数及参数值,并发送到CSRF POC:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
利用burp suite进行CSRF重放攻击
vaeloverforever的博客
12-16 4171
在windows xp系统中配置Damn Vulnerable Web Application (DVWA),借此安装一个web服务器,这个应用程序有若干基于web的漏洞,比如跨站脚本 (XSS), SQL注入, CSRF,命令注入等。 安装步骤 Step 1: 下载并安装XAMPP Step 2: 打开XAMPP Control Panel,开启Apache和MySQL服务 点击”S...
csrf-poc-creator:用于CSRF概念验证的Burp Suite扩展
05-11
csrf-poc创建者用于CSRF概念验证的Burp Suite扩展作者:@rammarj 您可以下载所有源代码并自己进行编译,也可以下载jar文件并开始使用burp csrf-poc-creator
burpsuite csrf攻击_「Burpsuite练兵场」CSRF(一)
weixin_39722070的博客
12-18 205
CSRF(Cross-site request forgery,跨站点请求伪造)是一种是挟制终端用户在当前已登录的Web应用程序上执行非本意操作的攻击方法,它允许攻击者诱导用户执行他们不打算执行的操作,并且该攻击可以部分规避同源策略。通过利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而...
2、使用BurpSuite进行CSRF漏洞测试
D516701881的博客
12-18 4445
1.环境准备 1.1.PC端设置BurpSuite设置代理 打开BurpSuite>proxy>options,开启本地代理 导出CA证书,打开BurpSuite>proxy>options,点击Import/export CA certificate,导出证书到本地。 安装导出的证书到本地计算机,安装方法不再详述。 1.2.靶机环境 DVWA是著名的OWASP开放出来的一个在线web安全教、学平台。提供了:暴力破解、命令执行、CSRF、文件包含、SQL注入、XSS学习环境,并且分
DVWA系列(五)——使用Burpsuite进行CSRF(跨站请求伪造)
weixin_45116657的博客
09-18 2070
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与X...
BurpSuite工具系】使用BurpSuite一次完整的测试CSRF漏洞
run_boy_2022的博客
06-14 861
在搜索选项 network.proxy.allow_hijacking_localhost jiang 将false修改为true,双击打开我们的burpsuite工具,将这里的监听端口改为8008。火狐浏览器地址栏添加 about:config。这样本地请求就可以监听到了。下载火狐浏览器设置网络代理。打开百度,浏览器提示这个。双击该选项就会为true。
burpsuiteCSRF测试简单说明;
白骨梦儿
03-18 4559
【技术有限,水平一般;刚刚学习,多提意见!】 CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞; CSRF攻击说明:攻击者(攻击者)利用受害者(受害者)尚未失效的身份认证信息(cookie,session等),以某种方式诱骗受害者点击攻击者精心制作的恶意链接或者访问包含恶意...
csrf攻击原理与解决方法_WEB安全之CSRF
weixin_39909212的博客
11-20 1577
大家好,我是阿里斯,一名IT行业小白。今天分享的内容是CSRF相关知识,不求表哥们打赏,只求点点在看,点点转发。CSRF漏洞概述CSRF(Cross-Site Request Forgery),中文名为跨站请求伪造,是一种Web攻击方式。该漏洞是一种挟持用户在当前已登录的Web应用程序上执行非本意操作的攻击方法。通俗点说就是恶意攻击者窃取了你在某个网站的身份,以你的名义发送恶意请求。CS...
burpsuite安装csrf模块,抓取https包
赵花花08042的博客
06-10 284
安装csrf 需要先安装python环境 安装csrf的时候,会提示先安装python,点击会跳转Jython官网下载standalone版本 下载后,在“选项”里选择jar就好了 路径不要有中文 重启bp 点击安装csrf 安装成功 抓https包 百度方法是 导出ca证书,在浏览器安装 没有成功 朋友说 浏览器和bp建立代理 浏览器访问http://burp (访问失败,访问bp代理地址127.0.0.1:8080 访问成功) 下载证书 浏览器安装证书 依然没成功 ...
Burpsuite+1.7.26+无限制版
02-14
《全面解析Burp Suite 1.7.26 Unlimited版:强大的网络安全测试工具Burp Suite是一款由PortSwigger公司开发的专业网络安全测试工具,它主要用于Web应用的安全评估。本次介绍的是1.7.26的无限制版本,提供更全面...
burpsuite使用技巧.docx
06-30
解决这个问题的方法是使用 BurpSuite 的 intruder 功能,通过添加参数和 payload 来实现持续重放报文。这样可以节省时间,输出结果也更加直观具体。 0×03 BurpSuite 模拟 DOS 攻击技巧 BurpSuite 也可以用来模拟...
csrf:适用于Burp Suite Pro的CSRF扫描仪扩展
05-15
适用于Burp Suite Pro的CSRF扫描仪扩展 要求 Burp Suite Pro 如果要从头开始编译代码,则还需要以下内容: (编译到.jar或复制到Burp的Java Environment目录中)
burpsuite-copy-as-xmlhttprequest:复制为XMLHttpRequest BurpSuite扩展
03-30
安装从发行版下载最新的JAR或手动构建使用选项卡将JAR添加到burpsuite:“扩展程序”->“扩展名”->“添加”用法从任何选项卡中选择一个请求,或者在“代理”->“ HTTP历史记录”选项卡中选择几个请求调用上下文菜单...
burpsuiteCSRF测试
无敌轻车的博客
05-13 1053
本测试以burpsuite与火狐浏览器为例 一、设置代理 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 二、抓包 ...
MySQL用户管理
CSDN凉宸
09-10 180
MySQL用户管理 登录 MySQL是基于C/S架构,必须在客户端通过终端窗口,连接MySQL服务器,进行操作。 mysql (-h localhost)在本机可不写 -u root(用户名) -p Enter password:************(密码) 用户管理 超级用户root 修改账号密码 DOS命令下修改,将root账号密码修改为111111 mysqladmin -u root password 111111 注意 语句最后不要加分号,否则密码就是‘111111;
csrf笔记
xhscxj的博客
07-10 178
CSRF 跨站请求伪造,是一种挟制用户在当前已登录的web应用程序上执行非本意的操作的攻击方法。 攻击者盗用了你在某个网站的身份,以你的名义发送恶意请求。 CSRF漏洞原理 简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 比如修改:只知道请求来自用户的浏览器,但不知道,发起请求的链接是浏览器的哪个标签发出的。 挟持用户 其实我们不能挟持用户,但是我们可以挟持用户的浏览器发送任何的请求。 某些html标签是可以发送HTTP GET类型的请求的。例如< img>
burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
xnxqwzy的博客
01-26 2098
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
CSRF靶场通关合集
最新发布
weixin_72543266的博客
07-07 830
最进系统的将从web渗透到内网渗透的知识点做一个回顾,同时结合一些实战案例来演示,下面是对刚开始学习时对靶场的一个总结.
如何利用burp suite验证csrf漏洞
06-01
Burp Suite 是一款常用的 Web 渗透测试工具,可以用来验证 CSRF 漏洞。下面简要介绍一下如何利用 Burp Suite 验证 CSRF 漏洞: 1. 在 Burp Suite 中打开目标网站的页面,启用拦截功能; 2. 在目标网站页面上进行一些操作,比如提交表单、发送请求等; 3. 在 Burp Suite 中查看拦截到的请求,判断是否存在 CSRF 漏洞; 4. 如果存在 CSRF 漏洞,可以通过构造恶意请求进行验证。 具体操作步骤如下: 1. 启用 Burp Suite 的拦截功能,打开浏览器,访问目标网站的页面; 2. 在目标网站页面上进行一些操作,比如提交表单、发送请求等; 3. 在 Burp Suite 中查看 Intercept(拦截)页面,查看拦截到的请求,判断是否存在 CSRF 漏洞; 4. 如果存在 CSRF 漏洞,可以通过修改请求参数,构造恶意请求进行验证; 5. 在 Burp Suite 中右键点击请求,选择“Send to Repeater”(发送到 Repeater); 6. 在 Repeater 中修改请求参数,构造恶意请求; 7. 发送恶意请求,观察目标网站的响应,判断是否存在 CSRF 漏洞。 需要注意的是,验证 CSRF 漏洞时应该遵守法律和道德准则,不要进行未经授权的攻击行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值