csrf漏洞(三)

最新推荐文章于 2024-08-25 16:00:00 发布
最新推荐文章于 2024-08-25 16:00:00 发布
阅读量264 收藏 8
点赞数 5
分类专栏: csrf 文章标签: csrf 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80280669/article/details/141370219
版权

  本文仅作为学习参考使用,本文作者对任何使用本文进行渗透攻击破坏不负任何责任。

前言:

本文依靠phpstudy以及dvwa靶场进行操作,具体搭建流程参考:xss漏洞(二,xss靶场搭建以及简单利用)

前篇文章:

csrf漏洞(一)

csrf漏洞(二)

前言:

若长时间未登录DVWA,无法正常登录。此时可直接访问

一,环境设置。

在DVWA Security页面内,将其选择为High(高级),并点击Submit保存设置。

二,用户进行修改密码的操作。

​将密码改为12345,并点击change,启动抓包软件。

可以看到,此处与Medium(中等)相比,多了token验证,此处需要绕过token。

三,攻击。

1,模块选择。

右键目标url,点击:发送到intruder,将其发送到攻击模块。

2,攻击类型。

攻击模式选择Pitchfork(交叉),把密码,再次确认的密码以及token分别在选中后,点击添加payload位置。

3,token以及重定向。

点击设置,勾选从相应包中提取以下项目,点击添加,会出现以下页面:

选中token值,复制后点击确认。

重定向选择总是。

4,线程选择。

在资源池内,选择新建;最大并发请求数设置为1(单线程);请求间隔固定为200.

5,payload。

在payload选项内,payload集选择为1,payload集合选择为简单列表,输入新的密码,点击添加(此处因需要再次输入密码以确认,需要添加两次)。

第三个设置为递归提取,将刚才复制的token值粘贴到首次请求payload中,并勾选检测到重复payload时停止。

6,攻击开始。

点击开始攻击,进行攻击。

渗透成功。

测试:

攻击成功。

影•逝
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF漏洞详细说明
02-26
经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有种方法被广泛用来防御CSRF攻击:验证token,验证...
CSRF漏洞的靶场实验
09-19
在“CSRF漏洞的靶场实验”中,我们将通过实际操作来理解这种攻击方式以及如何防御。 首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在...
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
CSRF漏洞防御-01
09-15
"CSRF漏洞防御-01" CSRF漏洞防御是一种非常重要的安全机制,它可以防止恶意攻击者对Web应用程序的攻击。CSRF漏洞防御主要包括四种方法:验证码防御、Referer Check防御、Anti CSRF Token防御和Token泄露。 验证码...
DVWA靶场通关(CSRF
2301_77012231的博客
08-22 623
CSRF 是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF属于业务逻辑漏洞,服务器信任经过身份认证的用户。漏洞利用前提::用户必须登录、黑客懂得一些发包的请求,服务器端是不会有二次认证的,被害者是不知情的DVWA。
CSRF简单介绍
2301_82000839的博客
08-25 96
欢迎交流。
SSRF以及CSRF
iteuko的博客
08-24 318
服务端请求伪造:由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据数据流:攻击者->服务器->目标地址有关函数。
数采网关面临的安全挑战
编程之道在明明德在亲民在止于至善
08-22 465
数采网关面临的安全挑战
探索802.1X:构筑安全网络的认证之盾
XINERTEL的博客
08-21 1181
首先,让我们了解一下什么是802.1x。802.1x是一个基于端口的网络访问控制机制,由IEEE(电气电子工程师学会)开发,属于IEEE 802.1标准家族。它的主要作用是通过认证管理用户和设备对网络的访问权限。更通俗地说,802.1x就像是网络的门卫,负责检查每一个试图进入网络的设备或用户的身份,只有通过认证的合法用户才能进入。这不仅可以防止未授权的设备接入,还可以确保网络的安全和稳定。
CISAW安全集成和别的类型有什么区别
2402_84109700的博客
08-21 334
对于CISAW安全运维方向,申请人须通过相应的考试,并且满足以下任一条件:具有硕士及以上学位并有2年信息安全相关工作经验,其中至少1年与安全运维相关;其次,CISAW的安全集成方向侧重于评估申请人在信息系统安全集成方面的基础知识和技能的掌握程度,以及运用这些知识分析和解决安全集成问题的能力。- 对于CISAW安全集成方向,申请人同样需要通过相应考试,并满足类似的工作经验要求,但针对的是安全集成领域的专业经验。- 对于CISAW安全管理方向,报名条件与前两者相似,但侧重于风险管理专业方向的相关工作经验。
第134天:内网安全-横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews
weixin_71529930的博客
08-22 829
本节案例适用于不能获得域控密码和hash的情况。
SD-WAN安全:在灵活性与安全性之间找到平衡
A526847的博客
08-21 521
随着企业业务的不断扩展和数字化转型的加速,网络架构的灵活性和安全性成为了企业关注的重点。SD-WAN(软件定义广域网)作为一种新兴的网络架构,通过软件定义和虚拟化技术,为企业提供了更灵活、可靠、经济高效的广域网连接方案。然而,在追求灵活性的同时,如何确保网络的安全性,成为了SD-WAN应用中的一大挑战。本文将探讨SD-WAN如何在灵活性与安全性之间找到平衡。
建筑楼宇电气安全与能效管理
ACRELKY的博客
08-21 953
这些电气安全事故隐患包括过载、缺相、漏电、相不平衡、跨接配电线路、零线地线混肴、线路老化、接触不良。楼宇建筑电气安全与能效管理系统与传统的电气监控系统截然不同,是一种基于泛终端的具有互联网功能的排除电气安全事故隐患的技术方案,是管理创新与现代信息技术融合的全新概念,能实现电气监测、控制、运行维护的全过程、自动化、一体化管理,能克服传统电气安全监控系统的缺陷,及时有效地发现和消除“孤岛”管理模式下存在的电气安全事隐患,提高工作效率、降低楼宇建筑配电系统的运行维护成本,具有显著的经济效益和社会效益。
银行总分支文件分发系统:在安全与效率之间找到平衡
文件数据安全交换
08-21 884
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。支持自定义人工审批流程,包括多级、多人审批,会签、或签、转签,并支持与OA、BPM审批系统集成,自动邮件通知,确保文件外发安全合规、审批灵活便捷。业务报告:各种业务的月度、季度和年度报告,包括贷款、存款、投资等业务的统计数据;
IP SSL证书的未来趋势:适应不断变化的安全挑战
2401_86337938的博客
08-21 927
随着网络攻击手段的不断进化和用户对隐私保护意识的增强,IP SSL证书作为保障网络安全的关键组件之一,也在不断地发展和完善。随着网络安全意识的提高和法规对HTTPS采用的推动,IP SSL证书的应用范围将进一步扩大。为了应对不断升级的安全威胁,IP SSL证书将采用更强大的加密算法,以确保数据传输的安全性。未来的IP SSL证书可能会集成更多的身份验证机制,比如多因素认证(MFA),以增强证书的整体安全性。随着物联网设备数量的激增,IP SSL证书也将需要适应这些设备的安全需求,确保它们之间的通信安全
AIM-R100:智能守护,末端回路漏电监测新卫士——精准预警,安全无忧
acrel002的博客
08-21 373
AIM-R100支持RS485通讯协议,轻松实现设备间的组网连接,构建起强大的远程监控网络。无论是大型企业还是复杂的工业园区,都能通过这一智能网络实现对电气安全状况的全面、实时、远程监控,让电气安全管理迈入智能化、自动化的新时代。面对紧急情况,AIM-R100迅速响应,通过其1路继电器输出功能,实现报警信号的即时输出,与紧急切断装置联动,迅速切断故障电路,将事故风险降至最低。AIM-R100内置了剩余电流互感器的断线和短路监测功能,一旦发现潜在故障,立即触发报警机制,有效防止因设备故障引发的安全事故。
Gartner发布2024年终端和工作空间安全成熟度曲线:24项相关技术发展和应用状况及趋势
lurenjia404的博客
08-22 1002
由于攻击者使用人工智能来增强网络钓鱼和终端攻击,企业需要高级安全措施来阻止入侵行为。此技术成熟度曲线可帮助安全和风险管理领导者识别可增强终端和工作空间保护的技术。
# 利刃出鞘_Tomcat 核心原理解析(九)-- Tomcat 安全
最新发布
段子手168的博客
08-25 739
# 利刃出鞘_Tomcat 核心原理解析(九)-- Tomcat 安全 15. Tomcat专题 - Tomcat安全 - 配置安全 16. Tomcat专题 - Tomcat安全 - 传输安全 16. Tomcat专题 - Tomcat安全 - 传输安全Https协议配置
服务器数据总是被恶意删除,日常该如何做好安全防范?
kk_177803619的博客
08-22 669
、部署防火墙和入侵检测系统 防火墙可以隔离受保护的服务器和公共网络之间的数据流,防止未经授权的访问和数据泄露。企业应定期为员工提供网络安全培训,提高员工的安全意识和技能,使他们能够识别潜在的网络攻击和安全威胁,并采取适当的措施保护服务器数据。保护服务器数据安全需要采取多方面的措施。通过定期备份数据、强化访问控制、部署防火墙和入侵检测系统、安装防病毒软件和主机安全软件、定期审计和漏洞扫描以及加强员工培训和安全意识等措施的有机结合,可以显著提升服务器数据的安全性,为企业的稳健运营提供有力保障。
csrf漏洞dvwa
09-13
CSRF(Cross-Site Request Forgery)是一种常见的Web应用程序安全漏洞,导致攻击者利用受害者的身份执行恶意操作。DVWA(Damn Vulnerable Web Application)是一个故意设计的Web应用程序,用于演示各种Web安全漏洞。 在DVWA中,可以找到一些关于CSRF漏洞的练习。要利用CSRF漏洞,攻击者需要诱使受害者访问一个包含恶意请求的网页。当受害者登录到DVWA并点击了这个网页时,他们的操作将被误导到执行攻击者指定的操作,而不是预期的操作。 在DVWA中,可以通过以下步骤来进行CSRF漏洞的测试和练习: 1. 打开DVWA,并确保已登录到应用程序。 2. 导航到"CSRF"页面或相关部分。 3. 查看该页面中的HTML源代码,查找表单或其他用户交互元素。 4. 创建一个包含恶意请求的HTML网页,可以使用类似于`<img>`或`<iframe>`标签来隐藏请求。 5. 在恶意网页中,构造一个针对目标用户的请求(例如更改密码、删除帐户等)。 6. 将恶意网页上传到一个服务器,并确保可以通过URL访问。 7. 诱使受害者点击恶意网页的链接。 8. 如果CSRF漏洞存在,并且受害者已经登录到DVWA,攻击者指定的操作将在受害者不知情的情况下执行。 请注意,演示和测试CSRF漏洞时需要遵守法律和道德规范。仅限于在授权的环境中进行此类活动,并且始终要尊重隐私权和合法性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值