pikachu csrf(get)

欺骗链接：利用get伪装修改地址技巧

最新推荐文章于 2025-09-18 10:57:54 发布

原创最新推荐文章于 2025-09-18 10:57:54 发布 · 482 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#web安全

本文揭秘如何通过抓包技术，通过修改get参数实现地址伪装，使目标点击伪造链接时，实际改变指定地址，达到隐蔽操作目的。

抓包，观察get里面的内容，add表示地址的意思，将地址修改为beijing，然后将url替换get，完成伪装，只要让对方点击改伪造链接，即可达成修改地址的目的

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ANYOUZHEN

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

pikachu平台之csrf

qq_42728977的博客

12-16

2199

概述参考链接 CSRF 是 Cross Site Request Forgery 的简称，中文名为跨域请求伪造，在CSRF的攻击场景中，攻击者会伪造一个请求（一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，这个攻击也就完成了，所以CSRF攻击也被称为“one click”攻击。场景例子 lucy想要在购物网站上修改购物地址，这个操作是lucy通过浏览器向后端发送了请求。...

【第九周】通过csrf（get）进行地址修改实验演示、token详解及常见防范措施、远程命令、代码执行漏洞原理及案例演示等等

weixin_44722125的博客

05-05

641

通过csrf（get）进行地址修改实验演示先登陆一下修改地址 submit即可修改如何确认此处是否存在CSRF漏洞首先这是一个敏感信息修改，其次看下burp数据包 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=shenyang&email=...

参与评论您还未登录，请先登录后发表或查看评论

pikachu之CSRF

qq_43665434的博客

02-08

847

pikachu之CSRF 文章目录pikachu之CSRF一、神魔是CSRF？二、地位三、场景四、比xss何如？五、如何确认存在CSRF六、靶场测试1、CSRF（get）2、CSRF（post）3、CSRF Token七、CSRF防范措施一、神魔是CSRF？ Cross-site request forgery，跨站请求伪造，攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击也就完成了，所以CSRF攻击也被称为“one click”攻击。二、地位

CSRF漏洞学习

最新发布

m0_63680225的博客

09-18

625

也叫做跨站请求伪造，也叫做点击攻击，需要靠其他的漏洞触发他，不然不能成功，主要原因就是在程序员开发的时候没有对请求进行参数比如"token"和"referer"等判断，造成攻击者可构造自己的url地址欺骗目标用户进行点击。在攻击场景中攻击者会伪造一个请求，一个链接，然后七篇用户点击，用户点击这个请求，整个攻击就会完成，这种攻击的本质和xss攻击并无关系一个用户访问a网站进行扣了一万块钱，b是一个恶意网站，用户一访问b，b就会自动让你的浏览器自动攻击a，并且扣你一万块钱Referer。

Pikachu 漏洞练习平台 CSRF(get) login

ineedmoreMuQ的博客

07-24

365

当其在已登录的状态下点击了url，意味着他自己像数据库提交了修改信息的请求，这主要是利用了网站对网页浏览器的信任。最大的区别就是CSRF没有盗取用户的cookie,而是直接的利。csrf是一种利用已登录的web应用程序上执行非本意操作的攻击方法，利用的是用户对指定网站的信任，CSRF利用的是网站对用户网页浏览。并把url改用户信息的链接发给倒霉蛋，信息可以随便填，什么叫。当我们修改参数里的修改信息，最终修改结果就是我们修改之后的。也是由于靶场的数据库并没有对传输的修改信息做严格的审核。

pikachu~~~CSRF(get,post,token)

weixin_50339832的博客

06-06

1882

GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=dv&phonenum=num&add=beijing&email=kobe%40pikachu.com&submit=submit HTTP/1.1

Pikachu---CSRF(get)

weixin_53736204的博客

07-24

195

登录另一个用户–>将上一个用户请求头参数复制加到地址栏后面–》发现修改成vince修改的数据。先登录vince用户。点击网络–查看请求头。

pikachu-CSRF(跨站请求伪造)

a1245678899的博客

11-10

767

Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。点击修改个人信息然后使用burpsuite抓包可以看到这个数据的传输过程是get型，数据包含在URL之中直接在URL之中构造包含自己信息的网址，伪造一下，诱导用户去点击。当链接被点击以后，可以看到信息已经被修改。

Pikachu之CSRF

weixin_48621644的博客

10-17

2204

小羊学安全任重而道远~

pikachu CSRF(跨站请求伪造) (皮卡丘漏洞平台通关系列)

热门推荐

箭雨镜屋

04-14

1万+

一、官方介绍本节引用内容来自pikachu漏洞平台（删了一些内容，留下了最重要的部分，并为精炼语言进行了一些修改） 1、我们判断一个网站是否存在CSRF漏洞，其实就是判断其对关键信息（比如密码等敏感信息）的操作(增删改)是否容易被伪造。 2、本质是借用户的权限完成攻击，因此攻击成功需要用户已经通过验证获得了权限，并触发了攻击者提供的请求。 3、网站如果要防止CSRF攻击，则需要对敏感信息的操作实施对应的安全措施，防止这些操作出现被伪造的情况，从而导致CSRF。比如： --对敏感信息的操作增加安全

pikachu 之CSRF（跨站请求伪造）get和post型

LIU6636LIU的博客

07-23

1018

pikachu 之CSRF（跨站请求伪造）get和post型

Pikachu-----CSRF(跨站请求伪造)

m0_65712192的博客

12-19

2609

Pikachu-----CSRF(跨站请求伪造)

Pikachu-CSRF(get/post/Token)

2401_83964264的博客

06-01

211

观察我们两次拦截到的信息可以发现GET型，会把我们的请求直接放到url中，而POST型则把我们的请求内容放到了消息内部。4.拦截到的内容如下，我们修改其中的内容，比如说我们修改email为987654321。3.修改后的个人信息如图，先打开burpsuite进行拦截，再点击submit。这个功能仅能在Pro版本中使用，我用的是社区版，所以之后我再补充这里的内容吧。2.还是修改emali,最后得到的修改后的信息当中的emal,已被篡改。登录kobe的账号，修改信息，打开拦截抓包，submit。

pikachu漏洞练习第三章节CSRF（get）（post）练习收获

kaka6764的博客

08-29

1047

Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念，甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。

csrf(get)

weixin_50887021的博客

06-20

647

csrf简介实验csrf (get) 简介跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。简单地说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是

pikachu靶场通关笔记15 CSRF关卡01-CSRF(GET)

mooyuan的网络安全博客

06-05

1559

本系列为通过《pikachu靶场通关笔记》的CSRF关卡(共3关）渗透集合，通过对CSRF关卡源码的代码审计找到CSRF安全风险的真实原因，讲解CSRF原理并进行渗透实践，本文为CSRF01关卡XSS之GET关卡的渗透部分。

CSRF（get）操作演示--pikachu

weixin_45873667的博客

05-19

226

先登录进入到会员界面，用户名和密码是kobe和123456. 我们修改个人信息，这里我们修改住址信息：改为wuhan，点击提交。那我们如何确认这个地方是否存在CSRF漏洞呢？可以知道这是一个敏感信息的修改。通过抓包查看到我们刚刚提交的修改信息。将其中的get信息复制下来。 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=15988767673&add=wuhan&email=kobe%40pik.

pikachu(皮卡丘）--CSRF

m0_74871683的博客

09-16

676

简要概述为1、我们判断一个网站是否存在CSRF漏洞，其实就是判断其对关键信息（比如密码等敏感信息）的操作(增删改)是否容易被伪造。2、本质是借用户的权限完成攻击，因此攻击成功需要用户已经通过验证获得了权限，并触发了攻击者提供的请求。3、网站如果要防止CSRF攻击，则需要对敏感信息的操作实施对应的安全措施，防止这些操作出现被伪造的情况，从而导致CSRF。比如：--对敏感信息的操作增加安全的token；--对敏感信息的操作增加安全的验证码；

pikachu_csrf通关攻略

m0_46390077的博客

01-23

881

将POST请求隐藏在站点中的表单中，然后诱骗用户进行点击，当用户点击后触发表单，数据自然就POST到存在CSRF漏洞的网站，用户的信息则被恶意修改。修改包中信息是可以被修改的，但是这一关是post类型，URL不再显示修改参数，所以无法再使用上述办法（即通过URL来伪造请求）进行修改。从上面的url可见，修改用户信息的时候，是不带任何不可预测的认证信息的。那么，这里应该是可以被利用的。从上图的请求报文来看，和前一关一样，没有不可预测的认证信息，可以被利用。回到把常中利用这个信息进行修改账户信息。

Pikachu CSRF

04-01

### Pikachu Framework 中的 CSRF 漏洞及其防护 #### 关于 CSRF 的定义跨站请求伪造 (CSRF, Cross-Site Request Forgery) 是一种攻击方式，它通过伪装成合法用户的操作来执行未经授权的行为。这种攻击通常利用用户...