DVWA漏洞源码分析——(三)csrf
Csrf原理:
Csrf中文称为跨站请求伪造,利用受害者未失效的身份认证信息(cookie,会话等)诱骗其点击恶意链接或者去访问攻击者构造的含有攻击代码的页面,在受害者不知情的情况下,以受害者的身份向服务器发送请求,从而达到一些非法操作(转账,改密)。
Csrf和xss的攻击方式有点相似,但是不同的是:
(1) csrf需要登录后才能操作,xss不需要
(2) csrf是请求页面api来时先非法操作,xss是先当前页面植入js脚本来修改页面内容
例子:
这里我们用dvwa靶场来复现这个漏洞,打开csrf之后,安全等级调为low,发现是个修改密码的页面
查看这个页面的源码