DVWA-CSRF-low级别_csrflow等级(1)

于 2024-05-16 15:39:54 发布
阅读量285 收藏 7
点赞数 3
分类专栏: 程序员 文章标签: csrf 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84973153/article/details/138963853
版权

它是GET请求提交的 , 提交的请求长这个样子

http://192.168.115.128/dvwa/vulnerabilities/csrf/
?password_new=123456&password_conf=123456&Change=Change#

密码加密后是这个样子

每个人修改密码的链接都是这个格式 , 这几个参数 , 现在我们复制这个链接 , 让另一个用户点击链接 , 把密码修改为我们想要的密码

用户点击以后 , 只要cookie中存在登录信息 , 密码就会被修改

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

2401_84973153
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA(Damn Vulnerable Web Application)程序源码v1.9稳定版.zip
02-03
DVWA(Damn Vulnerable Web Application)程序源码v1.9稳定版 需要的赶紧下载哦 最新吧 因外国网站连接失败的原因下载速度慢或者无法打开所以为你们提供的
【渗透测试笔记】之【拒绝服务攻击】_拒绝服务攻击的代码(1)
最新发布
2401_84971562的博客
05-13 334
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
dvwa页面打不开的原因_影响网站打开速度的原因有哪些
weixin_42549496的博客
12-15 1550
在运营网站的时候会发现,有的时候网站打开很快,有的时候网站打开的很慢,网站打开的快慢影响着用户体验以及搜索引擎的友好性。那么,影响网站打开速度的原因有哪些呢?1、网站页面的大小网站页面的大小直接影响着网站打开速度,如果网站图片过多,代码也多,那么网站的打开速度就会变慢。2、服务器的稳定性服务器的稳定性是影响网站打开速度的重要原因,如果服务器不稳定,网站就会打开慢或者打不开,严重的影响用户体验以及搜...
html5手机电商网页设计代码_北京营销型网页设计费用,电商做网站服务价格
weixin_39938165的博客
11-11 294
北京营销型网页设计费用,电商做网站服务价格,有些企业旗下有很多产品或者不同的服务,既想突出这款产品,又怕忽略那个服务,这样做很容易造成一个网站有多个主题,不仅网站内容看起来杂乱无章,而且也不利于搜索引擎对于网站的定位,不利于网站优化。一网站主。大多数服务器或空间已被默认缓存设置,webmaster或seoer所要做的就是在后台设置相应的文件类型和过期时间。在这里,建议是如果它是一个Windows主...
DVWA--登录页面错误问题“解决办法”
sinat_26474359的博客
11-15 1万+
Fatal error: Uncaught exception 'PDOException' with message ' in D:\DVWA\wamp\www\DVWA-1.9\dvwa\includes\dvwaPage.inc.php on line 469 PDOException: in D:\DVWA\wamp\www\DVWA-1.9\dvwa\includes\dvwaPa
DVWA-master.zip_DVWA_php_漏洞_靶场
09-24
php攻防练习靶场,多种漏洞组合,练习代码审计,避免开发出现漏洞
DVWA-master.zip
01-04
DVWA-master.zip文件包含了整个DVWA项目的源代码和相关资源,是学习和研究网络安全的理想工具。 1. **DVWA的结构与功能** DVWA由多个安全级别组成,包括“低”、“中”、“高”和“不可能”,每个级别都包含不同...
DVWA-master.7z 压缩包
09-14
这个"DVWA-master.7z"压缩包包含了完整的DVWA源代码和其他相关文件,用于在本地环境中搭建一个模拟的脆弱Web应用。 为了正确地使用这个压缩包,首先你需要下载它并使用解压缩工具(如7-Zip)将其解压。解压缩后,你...
dvwa时的奇奇怪怪的问题】(burpsuit的问题,dvwa的问题)(暴力破解、MySQL注入等)
AZK707的博客
03-09 6985
以下是我自己遇见的,但网上查不到的问题,还有的常见问题一般百度得到,我就没写了,有其他问题可以私聊,或者在评论去进行补充 目录 以下是我自己遇见的,但网上查不到的问题,还有的常见问题一般百度得到,我就没写了,有其他问题可以私聊,或者在评论去进行补充 一、dvwa网站打开是一堆代码 二、dvwa网站能正常打开,但是输入密码无法正常登录,显示密码错误 三、burpsuite抓的包里cookie值有两个、在dvwa里设置成low等级,再去准备攻击时又变成其他的等级了 一、dvwa网站打开是一堆
dvwa页面打不开的原因_这些原因会导致我们网站的打开速度减慢吗?
weixin_33280038的博客
12-14 1929
站点想要获得更多的流量,想要得到更多的用户来访问,我们不仅要满足用户的需求,网站开得也要快,否则谁会在那墨迹等着你的站点慢慢打开。要想解决这个问题,下面跟我一起来看一看吧,这些原因会导致我们网站的打开速度变慢。第一,服务器稳定。优秀的服务器配置更好,运行自然更流畅,但配置不好的资源就不同了,打开速度慢不说还容易卡死,导致网站无法打开。第二,页面大小。打开一个网页,所有的数据都会被下载,无论是图片还...
dvwa下载及安装-图文详解+phpStudy配置
热门推荐
wzhua的博客
09-26 2万+
dvwa下载及安装-图文详解+phpStudy配置 有链接
[Java安全]—Agent内存马
Sentiment的博客
08-17 3663
在JVM中运行中,类是通过classLoader加载.class文件进行生成的。在类加载.class文件生成对应的类对象之前,我们可以通过修改.class文件内容,达到修改类的目的。而在 jdk 1.5之后引入了 java.lang.instrument 包,通过 java.lang.instrument 提供的对字节码进行操作的一系列api,而使用这些api开发出的程序就可以称之为java agent。agent内存马就是利用上述特性修改特定的类或者方法,从而实现恶意方法的注入。Ja...
java字节码插桩详解以及一个简单的示例
a807719447的专栏
06-07 1489
visitMethodInsn(int opcode, String owner, String name, String desc, boolean itf):访问方法调用指令,opcode表示指令的操作码,owner表示方法所属的类名,name表示方法名,desc表示方法描述符,itf表示方法是否为接口方法。它是一个抽象类,需要继承并实现其中的方法来实现对方法字节码的访问和修改。方法中,我们可以指定要添加的方法操作码类型、方法所属的类、方法的名称、方法的描述符和是否为接口方法,从而修改方法的字节码。
DVWA靶场——下载与安装(全)
weixin_45923850的博客
10-17 1万+
DVWA详细安装过程,新手避免踩坑
python读取与保存图片的exif信息
Jeff_zjf的博客
12-02 1万+
图片的exif文件格式中保存了很多信息,比如GPS经纬度,高度,焦距等信息。 在图片的属性中可以看到这些信息: 我们可以使用python来进行exif数据的读取和保存。 1. 首先安装piexif pip3 install piexif 2.exif数据读取代码 import piexif from PIL import Image # Read Image fname = './1.JPG' img = Image.open(fname) exif_dict = piexif.loa
如何修改照片元数据
Equinox_ji的博客
01-27 935
之所以不用EXIFTool去批量修改,是因为我的照片的位置信息笔记乱,需要看着照片才知道大概是在哪个位置拍的。如果你的照片就是在一个位置拍的,也可以用EXIFTool直接修改。如果你不熟悉命令行的方式,这里也提供了一个GUI界面的EXIFtool,可以直接在右边的界面里修改照片元数据。这个建议用Adobe Bridge修改,通过查找元数据,找到GPS为空的图片或视频。3)在命令行中,输入想要操作的指令,我把一些常用指令放在了下面。筛选出没有GPS信息的照片后,再批量添加GPS信息。
DVWA靶场搭建
qq_47183521的博客
07-15 932
3、dvwa靶场安装包。
复现关于dvwaCSRF-token绕过实验
05-05
首先,我们需要在本地搭建一个DVWA环境。DVWA是一个漏洞练习平台,可以用于学习和测试Web应用程序的安全性。您可以从以下网站下载DVWA并进行安装:https://github.com/ethicalhack3r/DVWA。 接下来,我们需要绕过CSRF-token进行攻击。CSRF-token是一种防止CSRF攻击的措施,它是一个随机生成的字符串,用于验证请求是否来自合法的来源。在DVWA中,我们可以通过修改一个cookie来绕过CSRF-token。 下面是具体的攻击步骤: 1. 打开DVWA,登录并进入CSRF实验页面。 2. 在Chrome浏览器中打开开发者工具,切换到“Network”选项卡,勾选“Preserve log”选项。 3. 在实验页面中点击“View Source”按钮,查看页面源代码。 4. 在源代码中找到与CSRF-token相关的代码,我们可以看到以下代码: ``` <input type="hidden" name="user_token" value="<?php echo $_SESSION['user_token']; ?>"> ``` 5. 复制CSRF-token,它通常位于name="user_token"的input标签中,value属性的值为一个长字符串。 6. 在开发者工具中找到与此页面对应的请求,点击它打开请求详情。 7. 在请求详情中找到Cookie选项卡,找到名为“PHPSESSID”的cookie并复制它的值。 8. 使用一个新的浏览器标签打开一个在线表单生成器,例如:https://www.123formbuilder.com/free-form-templates/Online-Order-Form-3578911/。 9. 在表单生成器中创建一个POST表单,将请求方法设置为POST,并填写以下表单字段: ``` action: http://your-dvwa-site.com/vulnerabilities/csrf/ amount: 1000 ``` 10. 在开发者工具中找到此页面对应的请求,复制请求头中的所有内容。 11. 使用curl或其他工具发送POST请求,将以上内容作为请求头发送,例如: ``` curl -X POST 'http://your-dvwa-site.com/vulnerabilities/csrf/' \ -H 'Cookie: PHPSESSID=your-session-id-here' \ -H 'Content-Type: application/x-www-form-urlencoded' \ -H 'Referer: http://your-dvwa-site.com/vulnerabilities/csrf/' \ -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36' \ -H 'Upgrade-Insecure-Requests: 1' \ -H 'Origin: http://your-dvwa-site.com' \ -H 'Accept-Encoding: gzip, deflate' \ -H 'Accept-Language: en-US,en;q=0.9' \ -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' \ --data 'user_token=your-csrf-token-here&amount=1000&action=transfer' ``` 12. 您应该会看到成功的响应。 总之,这个实验展示了CSRF攻击的危害性以及如何绕过CSRF-token进行攻击。在实际应用中,我们应该采取更加安全的措施来防止CSRF攻击,例如使用双重身份验证或者更加严格的CSRF-token验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值