pikachu靶场中CSRF通关

最新推荐文章于 2024-09-10 14:27:10 发布
最新推荐文章于 2024-09-10 14:27:10 发布
阅读量436 收藏 4
点赞数 20
文章标签: csrf web安全 网络安全 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81478856/article/details/140960275
版权

get型

根据提示信息登录vince账号查看一下个人信息

登录allen账号,模拟入侵者

在Allen账号中修改手机和住址信息

点击submit用burpsuit抓包

复制并补全框选的地址,得到修改了个人信息的链接

http://127.0.0.1//pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=987654321&add=usa&email=allen%40pikachu.com&submit=submit

退出allen账户

登录vince账户

链接太长了可以在线修改为一个短链接https://www.985.so/

点击生成

得到http://985.so/kkt6i

模拟vince被诱导点击恶意链接,在vince账号在线的情况下访问该网址

vince的账户信息已经被修改

post型

登录allen账号

点击修改相关信息

burpsuit抓包直接修改电话号码为5201314

住址修改为nba 2

右键选择Generate CSRF PoC

点击Copy HTML复制内容

 在PHP study www目录下创建一个文本文档

命名为1.html,将复制的内容粘贴到文档中

访问127.0.0.1/1.html

可以看到allen的个人信息已经被修改

黄瓜布丁
关注
  • 20
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Pikachu 靶场 CSRF 通关解析
Flag少侠的博客
05-08 2202
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用程序安全漏洞,它允许攻击者在用户不知情的情况下以受害者的身份执行未经授权的操作。CSRF攻击利用了Web应用程序对用户的信任。攻击者通过诱使用户访问恶意网站或点击恶意链接,使受害者在已登录的状态下访问目标网站。然后,攻击者利用受害者的身份在目标网站上执行恶意请求,例如转账、更改密码或删除数据。以下是CSRF攻击的一般工作流程1. 受害者登录:受害者在目标网站上进行登录,并获得有效的会话凭证。
pikachu靶场通关CSRF
qq_74825121的博客
01-20 1316
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。
Pikachu靶场-CSRF
qq_53083285的博客
11-04 456
Pikachu靶场-csrfCSRF漏洞概述CSRF漏洞测试流程CSRF演示CSRF token常见的防范措施 跨站请求伪造目录 CSRF漏洞概述 CSRF漏洞测试流程 CSRF演示 CSRF token 常见的防范措施
pikachu通关教程(CSRF
Bu2n的博客
12-08 1421
CSRF(get)CSRF(post)CSRF Token CSRF(get) 登录vince的账号 修改手机号 抓包看到是个get请求 打开一个新网页,利用上面的参数,构造一个url,这里我把手机号改为120(这里是模拟钓鱼网站跳转到恶意的url) 手机号修改成功 CSRF(post) 登录vince账号,尝试修改信息,抓包,发现是post请求 这下就不能直接用url跳转进行CSRF攻击了,得伪造一个表单页面,让用户去访问。 表单代码如下 js代码意思是当页面加载完毕,自动点击提交按钮,.
pikachu靶场通关CSRF(1),2024年最新oppo网络安全面试
2401_83973995的博客
04-13 538
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。
pikachu靶场csrf通关
05-06
Pikachu靶场是一个用于学习网络安全的虚拟...通关Pikachu靶场CSRF挑战需要先了解什么是CSRF漏洞,然后通过修改请求参数等手段来伪造请求,实现攻击目标网站。具体的挑战流程可以参考Pikachu靶场的提示和指引。
pikachu靶场csrf通关post型
08-16
对于Pikachu靶场CSRF通关,您需要使用POST请求来成功完成。具体步骤如下: 1. 首先,您需要了解目标网站的CSRF防护机制。通常情况下,目标网站会在用户进行敏感操作时,要求附带一个CSRF令牌(或称为防护令牌)...
pikachu靶场通关记录
weixin_45682839的博客
04-01 2654
pikachu靶场通关记录
CSRF,SSRF和重放攻击的区别
weixin_61074128的博客
09-05 465
SSRF,全称Server-Side Request Forgery,是一种由攻击者构造请求,使服务器端发起请求的安全漏洞。重放攻击(Replay Attacks),又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,以达到欺骗系统的目的。攻击者通过伪造用户的请求,利用用户对网站的信任,诱导用户在其不知情的情况下执行某些操作,如转账、提交表单等。攻击者将截获的数据包重新发送给目标系统,以欺骗系统认为是一次新的有效请求。在服务器端验证请求的时效性,拒绝过期的请求。对请求地址进行严格的过滤和验证。
如何识别和防范跨站请求伪造(CSRF)?
盼盼盼的博客
09-09 311
识别和防范跨站请求伪造(CSRF)的关键在于理解其攻击原理并采取相应的措施。
通过组合Self-XSS + CSRF得到存储型XSS
2301_80127209的博客
09-05 827
在一次漏洞赏金挖掘,我在更改用户名的功能点出发现了一个XSS,在修改用户名的地方添加了一个简单的XSS payload并且刷新页面
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-10 1230
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、间件、数据库。其电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 361
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1347
SQL注入是一种通过在用户输入嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 937
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
网络安全】服务基础第二阶段——第三节:Linux系统管理基础----Linux用户与组管理
goldfish8848的博客
09-07 731
SUID、SGID 和 Sticky Bit 都在Linux提权扮演了重要⻆⾊。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1756
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法、会在tokenizer.process() 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全(黑客技术)—2024自学手册
最新发布
小司机的奥拓
09-10 2400
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)的2到3个,都可以较好的胜任工作需求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值