csrf漏洞(一)

于 2024-08-16 21:54:07 发布
阅读量285 收藏 6
点赞数 3
分类专栏: csrf 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80280669/article/details/141269699
版权

 本文仅作为学习参考使用,本文作者对任何使用本文进行渗透攻击破坏不负任何责任。

前言:

本文依靠phpstudy以及dvwa靶场进行操作,具体搭建流程参考:xss漏洞(二,xss靶场搭建以及简单利用)

一,漏洞简介。

CSRF (Cross-Site Request Forgery) 是一种常见的Web应用程序安全漏洞,全称为跨站请求伪造。它发生在攻击者通过恶意网站或第三方服务构造一个看似来自用户浏览器的请求,从而欺骗服务器执行未经授权的操作,比如更改账户信息、发送订单等。这种攻击利用了用户已经登录的身份,因为请求看起来像用户的正常操作。

二,攻击流程。

1,用户正常登录正常网站A,并在其过程中产生cookie,token等验证信息。

2,用户在A网站保持登录的情况下,访问恶意网站B。

3,网站B要求访问网站A,并发送一个请求头。

4,网站B携带登录正常网站A,产生cookie,token等验证信息访问网站A。

三,攻击范围。

用户会在完全不知强的情况下,被盗取信息,并可使用被盗取的信息,并以此身份多服务器发送请求,以受害者的身份进行违法操作,或直接攻击受害者,造成财产损失。

四,漏洞复现。

1,环境配置。

在DVWA Security中,将安全等级设置为low(低级),并保存。

打开靶场。

2,用户进行修改密码的操作。

将密码改为123456,并点击change,启动抓包软件。

3,创造poc。

在抓包处右键,将鼠标移动到相关工具,点击生成CSRF Poc。

点击复制代码。

并将其放置在一个html文件内。

我们可以看到:

密码为:123456,我们将其更改为:123456789。

4,受害者访问poc.html。

点击Test Credentials后,可以进行登录测试,可以发现,密码已经更改为123456789.

影市
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2446
本篇总结归纳CSRF漏洞
csrf漏洞
m0_55772907的博客
04-27 728
  CSRF(Cross-site Request Forgery,跨站请求伪造),缩写CSRF,也有少数文章称为XSRF,一种利用用户在当前已登录的Web应用程序上执行非本意操作的攻击方法(利用受害者尚未失效的身份认证信息(cookie,会话等),创建恶意伪造的web页面请求,在受害者不知情的情况下向服务器发送请求完成非法操作(转账、改密等))。   简言之,攻击者间接利用受害者合法身份,以其身份发送恶意请求。 1.2 漏洞实质   攻击者通过技术手段欺骗用户的浏览器访问
CSRF漏洞
ytdd66的博客
03-28 948
CSRF漏洞(跨站请求伪造)是一种网络的攻击方式,也被称为One Click Attack或者Session Riding,是一种挟制用户在当前已登录的Web应用程序上执行的非本意操作的攻击方法。与XSS相比,XSS利用用户对指定网站的信任,CSRF利用网站对用户网页浏览器的信任。Token(令牌)是一种特殊的数据结构或对象,它通常用于身份验证、授权和数据传输等领域。在身份验证和授权方面,Token是一种用于验证用户身份和授权访问资源的凭证。
CSRF 漏洞详解
一个努力学习网安的小牛马
11-13 584
CSRF漏洞详解
CSRF 漏洞验证
wj33333的博客
11-13 317
CSRF
CSRF漏洞详解
m0_55854679的博客
03-09 1970
文章目录注意什么是CSRFCSRF的成因CSRF的危害CSRF的利用CSRF的测试常见CSRFCSRF的预防CSRF练习 注意 任何网站以及互联网功能的本质:数据包的传递。 CSRF的核心是让客户端的浏览器去访问,SSRF核心是让服务器去访问。 XSS是窃取cookie,CSRF是利用cookie。 浏览器CORS【跨站资源共享】的问题,不同的网站发送JS请求浏览器会主动拦截删除Cookie,所以这种漏洞偏少。 什么是CSRF CSRF(Cross-site request forgery)跨站请求伪
CSRF 漏洞
Just a Blog
03-26 903
CSRF 漏洞
pikachu之CSRF漏洞
miaositekali的博客
03-02 234
pikachu的csrf
DVWA之CSRF漏洞
weixin_56306210的博客
03-17 1211
DVWA之CSRF漏洞
CSRF漏洞防御
一米八多的瑞兹的博客
11-25 3371
1.验证码防御 验证码防御被认为是对抗CSRF最为简单而且有效的防御方法。 CSRF在用户不知情的情况下完成对应操作,而验证码强制用户与应用程序交互,才能最终完成操作。通常情况下,验证码能够很好的遏制CSRF。 出于用户体验考虑,不可能每一个操作都加入验证码。所以验证码只作为辅助手段,不能作为防御CSRF的主要解决方案。 验证码防御也可以被认为是二次验证 2.Referer Check防御 Referer Check主要用于防止盗链。同理也可以用来检查请求是否来自合法的“源”。 比如用户修改密码,一定是在
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。...在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
CSRF漏洞的靶场实验
09-19
74cms是一个常见的Web应用程序平台,可能存在的CSRF漏洞是攻击者可以构造特定的请求,诱使用户执行如修改个人资料、发布文章等敏感操作。在提供的文档"74cms-csrf漏洞.docx"中,可能包含了关于这个靶场的具体步骤和...
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
CSRFTester:一款CSRF漏洞安全测试工具
02-26
CSRFTester:一款CSRF漏洞安全测试工具CSRFTester是一款CSRF漏洞的测试工具,讲工具之前,先大概介绍一下CSRF漏洞CSRF英文全称是CrossSiteRequestForgery,常被叫做跨站点伪造请求,是伪造客户端请求的一种攻击...
特洛伊木马:现代网络安全的隐形威胁
最新发布
weixin_48579910的博客
08-16 263
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
H5直播行业的安全挑战:为何害怕黑客攻击?
@云安全小杜
08-13 420
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全
jiuxindianzi的博客
08-16 271
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。
IDS 与 IPS:网络安全的两道防线
hakksjss的博客
08-16 123
然而,IDS 也存在一定的局限性。它就像是网络世界中的“哨兵”,时刻保持警惕,依据一定的安全策略,分析网络数据包、系统日志等信息,试图发现各种潜在的攻击企图、入侵行为以及异常活动。此外,IPS 的误报率也是一个需要关注的问题,如果错误地拦截了正常的流量,可能会影响业务的正常运行。如果确定为攻击行为,IPS 则根据预先设置的规则和策略,立即阻断相关的流量,防止攻击对网络造成更大的破坏。它串联在网络中,实时分析流经的网络流量,一旦发现与已知攻击模式或异常行为相符的流量,立即采取行动,防止攻击的进一步扩散。
安全密码算法:SM3哈希算法介绍
Angelic_lan的博客
08-16 542
国密算法之一,哈希算法的一种,也是密码杂凑算法。可以将不定长的输入消息message,经过SM3算法计算后输出为32B固定长度的哈希值(hash value)。哈希算法的实质是单向散列函数(one-way hash function),其特点是,输入数据有1bit的改变都有很大概率会产生不同的散列值,因而很多场景中会使用散列值来验证输入消息的完整性。
csrf漏洞dvwa
09-13
CSRF(Cross-Site Request Forgery)是一种常见的Web应用程序安全漏洞,导致攻击者利用受害者的身份执行恶意操作。DVWA(Damn Vulnerable Web Application)是一个故意设计的Web应用程序,用于演示各种Web安全漏洞。 在DVWA中,可以找到一些关于CSRF漏洞的练习。要利用CSRF漏洞,攻击者需要诱使受害者访问一个包含恶意请求的网页。当受害者登录到DVWA并点击了这个网页时,他们的操作将被误导到执行攻击者指定的操作,而不是预期的操作。 在DVWA中,可以通过以下步骤来进行CSRF漏洞的测试和练习: 1. 打开DVWA,并确保已登录到应用程序。 2. 导航到"CSRF"页面或相关部分。 3. 查看该页面中的HTML源代码,查找表单或其他用户交互元素。 4. 创建一个包含恶意请求的HTML网页,可以使用类似于`<img>`或`<iframe>`标签来隐藏请求。 5. 在恶意网页中,构造一个针对目标用户的请求(例如更改密码、删除帐户等)。 6. 将恶意网页上传到一个服务器,并确保可以通过URL访问。 7. 诱使受害者点击恶意网页的链接。 8. 如果CSRF漏洞存在,并且受害者已经登录到DVWA,攻击者指定的操作将在受害者不知情的情况下执行。 请注意,演示和测试CSRF漏洞时需要遵守法律和道德规范。仅限于在授权的环境中进行此类活动,并且始终要尊重隐私权和合法性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值