CSRF跨站请求伪造

收货地址：翻斗大街翻斗花园二号楼1001室

图图编辑好修改的内容，点击提交

此时提交的url请求为

http://www.xbao.com/member/edit.php?name=壮壮妈&phone=1357582885542&add=翻斗大街翻斗花园二号楼1001室 &submit=submit

（2）这时牛爷爷想截获图图的包裹，所以他要去修改图图的收货地址，科三他没有图图的账号权限，那么他会怎么做呢？

1. 牛爷爷发现这个网站存在csrf漏洞；
2. 牛爷爷先确认图图还处于登陆状态；
3. 接着牛爷爷将修改个人信息的请求伪造，然后引诱图图在登陆状态下点击

此时图图提交的url请求为：

http://www.xbao.com/member/edit.php?name=牛爷爷&phone=13152527979&add=翻斗大街翻斗花园二号楼1002室

这个请求和正常的修改请求一模一样，而且又是图图自己的账号，所以修改成功，牛爷爷达到了攻击目的。

（3）为什么牛爷爷能攻击成功？

1. x宝没有对个人信息修改的请求进行防CSRF处理，导致该请求容易伪造。因此，我们判断一个网站是否存在CSRF漏洞，其实就是判断其对关键信息（尤其是密码等敏感信息）的操作（增删改）是否容易被伪造。
2. 图图处于登陆状态，并且点击了牛爷爷发送的埋伏链接。

如果受害者不处于登录状态或不在权限控制下，亦或者不点埋伏链接，那么攻击不会成功。

（4）CSRF漏洞但看之下的利用比较局限，但是和其他漏洞结合起来，威胁性也很大。

牛爷爷决定直接发链接太明显，会被图图轻松识破，于是他利用Burpsuite的功能模块做了一个钓鱼网站:

1. 使用burp suite的engagement tools制作一个csrf攻击钓鱼网站；
2. 牛爷爷给图图发送这个页面，引诱图图在没有退出的情况下访问钓鱼页面；
3. 图图点击了钓鱼网站中的恶意表单，从而在不知情的情况下执行了修改信息请求。

CSRF是借助受害者的权限完成攻击，攻击者全程都没有拿到受害者的权限，而XSS一般直接通过获得用户权限实施破坏。

CSRF相比XSS来说不是很留下，所以对于CSRF防范的措施较少，因此CSRF比XSS更具有危险性。

三用burp suite制作钓鱼页面

1.进入DVWA靶场(安装详情可以在网上搜索，非常简单)点击DVWA Security将难度修改为low

2.进入CSRF界面

3.可以看到这是一个修改密码的界面，并且只需要处于登陆状态就可以修改密码，无需其他校验，形成了CSRF漏洞，接下来修改密码，并用burp抓包

4.选择CSRF PoC生成

5.生成出来的内容

6.复制html的代码，放到攻击者的目录下，将链接发送给受害者，受害者点击后会给攻击者服务器发请求

7.这时候受害者的账户密码已经泄露，攻击者可以用受害者的新密码直接登录

8.也可以将攻击服务器的页面地址通过DVWA的XSS存储型漏洞植如页面中。

9.当DVWA的当前登录用户去查看XSS漏洞页面时，点击即可完成攻击。

10.也可以继续改进，比如直接将修改密码的请求地址内嵌到XSS页面中

<a href="http:192.168.112.188/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change">
<img src="http://192.168.112.188/dateme.gif"/></a>

11.或者直接取消点击操作，进入界面即修改密码

12.上述两项操作的前提是被攻击的服务器存在XSS漏洞，如果不存在XSS漏洞，则需要诱使登录用户点击攻击服务器链接。

四如何防御CSRF

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块