网络安全第四天--CSRF

最新推荐文章于 2024-08-25 14:15:00 发布
最新推荐文章于 2024-08-25 14:15:00 发布
阅读量38 收藏
点赞数
文章标签: web安全 csrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80097039/article/details/134318009
版权
本文介绍了CSRF的基本概念,包括其利用场景、GET和POST类型的区别,以及如何通过抓包工具如Burp进行POST型CSRF攻击。重点讲解了CSRF-token的使用,强调了在Web安全中的重要性。
摘要由CSDN通过智能技术生成

一 什么是CSRF

利用场景

其次就是受害者在登录账号的同时点击攻击者的链接

二 CSRF和XSS区别

三 get型CSRF

这个的话,发送的请求都会在URl中显示只需要修改URL,再点击,就可以完成数据修改

初始数据如下

http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=taiyuan&email=lucy%40pikachu.com&submit=submiticon-default.png?t=N7T8http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=taiyuan&email=lucy%40pikachu.com&submit=submit链接如上

通过修改链接部分内容

达到目的

如下

http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=datong&email=lucy%40pikachu.com&submit=submiticon-default.png?t=N7T8http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=taiyuan&email=lucy%40pikachu.com&submit=submit

 

受骗者点击后直接被修改

太牛逼了

四 POST型CSRF

这给用burp抓包后修改比较

首先抓包

再点开这个

修改手机号后复制路径

打开那个路径

他只是想改地址,结果手机被改了

五 CSRF -token

一开始想改性别

这里需要用token做文章

我们需要把response的token替换request的token

如下

再把我们想要改的内容改了

然后再放包就OK了

结果如下

Nigoridl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 014-网络安全应急技术与实践(Web层-CSRF跨站攻击)
时光隧道
02-10 6万+
CSRF(跨站请求伪造)是一种网络攻击方式。网站通常通过Cookie来识别用户,一旦用户通过身份验证,浏览器就会得到一个用于标识用户的Cookie。任何带有这个Cookie的操作都被认为是该用户所执行的。黑客可以利用这个Cookie向网站发送请求,网站会认为这是用户发送的请求,从而达到伪造请求的目的。这种攻击方式通常由第三方站点发起,因此称为“跨站”。
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 17万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
网络安全初探-CSRF攻击方式&&防御手段
LYFlied的博客
05-19 1377
文章目录一、CSRF二、常见的攻击类型1.GET类型的CSRF2.POST类型的CSRF3.链接类型的CSRF三、CSRF的特点四、防护策略1.同源检测Origin Header和Referer HeaderSamesite Cookie属性2.提交时要求附加本域CSRF Token双重Cookie验证 一、CSRF CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭
网络安全-CSRF
wuli1024的博客
01-05 775
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
burp靶场--CSRF
qq_33168924的博客
01-25 1575
应用程序不校验csrf的有效性,只是对比body中与cookie中csrf的值是否相同,相同就接受请求,由于搜索功能没有csrf保护,并且存在cookie注入,所以可以使用搜索中cookie注入修改cookie的csrf与bodycsrf一致造成csrf攻击。步骤1:登陆两个账户,将账户A的csrfkey与csrf值替换给第二个账户B中使用,用来请求修改邮箱地址,修改成功,但是由于cookie被修改会导致账户退出,并且发现搜索功能存在cookie注入【注入的数据可以修改客户端cookie设置】,所以结合。
网络安全杂谈- CORS/CSRF/XSS
wuli1024的博客
01-08 1541
出于浏览器的同源策略限制,浏览器会拒绝跨域请求。同源: 域名、端口、协议都相同,称为同源。
CSRF-知识点详细讲解
qq_54037445的博客
12-02 405
利用受害者没有失效的身份认证信息,诱骗受害者点击恶意链接,访问包含攻击代码的页面,在受害者不知情的情况下,以受害者的身份向服务器发送请求,服务器认为是受害者本人发出的请求,从而予以响应,完成非法操作。
CTF-web Xman-2018 第五天 xss csrf
iamsongyu的博客
12-15 1410
xss常见套路 对于xss,实际上就是把我们提交上去的数据当做代码执行,对于这种实际上有很多种情况可以攻击,下面具体介绍一些常用的套路。 先看一些小trik 很多HTML标记中的属性都支持javascript:[code]伪协议的形式. <table background="javascript:alert(/xss/)"></table> <img src=...
第29天:WEB漏洞-CSRF及SSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
网络安全面试题-93题
06-13
根据给定文件的信息,我们可以提炼出一系列重要的网络安全知识点,这些知识点不仅涵盖了基本概念和技术细节,还涉及到了具体的攻击手段和防御策略。以下是对文件中提到的一些关键知识点的详细解释: ### 1. SQL注入...
2021-5-10CSRF漏洞实例
05-13
在当前的网络安全领域中,CSRF漏洞(跨站请求伪造漏洞)是一种常见的安全威胁,它使得攻击者可以诱导已认证的用户执行非用户本意的操作。本次分析的CSRF漏洞实例,是一个新手友好的案例,详细说明了漏洞的发现、复现...
10-CSRF的攻击与防御1
08-03
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,它利用了浏览器自动发送Cookie的特性,使攻击者能够以受害者的身份执行非预期的操作。在讨论CSRF攻击时,我们需要理解其基本原理、常见场景、...
Python-使用CSS注入来窃取CSRF令牌无iFrames
08-10
网络安全领域,攻击者经常利用各种手段来侵犯用户的隐私和数据安全。在给定的"Python-使用CSS注入来窃取CSRF令牌无iFrames"主题中,我们探讨的是一种特殊的攻击方式,即通过CSS注入来绕过某些安全措施,非法获取...
网络安全(黑客)——自学2024
最新发布
2401_84466325的博客
08-25 753
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
从密码学角度看网络安全:加密技术的最新进展
A526847的博客
08-20 687
在数字化时代,网络安全已成为不可忽视的重大问题。随着计算机技术和网络应用的飞速发展,黑客和网络攻击手段日益复杂,对个人、企业乃至国家的信息安全构成了严重威胁。密码学作为网络安全领域的核心支柱,其发展对于保护信息安全具有至关重要的作用。本文将探讨加密技术的最新进展,以及这些进展如何助力网络安全
网络安全英语术语
Anything that can make the world better is promising!
08-22 953
网络安全英语术语, English Terms for Cybersecurity
如何解决网络安全CSRF问题
09-01
网络安全CSRF问题是一种跨站请求伪造攻击,攻击者可以利用用户已经登录的身份来执行未经授权的操作。为了解决这个问题,可以采取以下几种方式: 1. 在请求中添加Token验证:可以在页面中生成一个随机的Token,然后...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值