pikachu之CSRF
CSRF(get)
登陆后,进入修改个人信息界面,点击submit,看到发送的请求
在受害者登陆的情况下,构造以下链接,若受害者点击了,便可以修改他的个人信息
http://127.0.0.1/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=18626545453&add=chain2222&email=vince%40pikachu.com&submit=submit
点击后,个人信息被修改了 chain2222
CSRF(post)
点击Test in brower,复制链接,在登陆过账号的浏览器上,访问链接,点击按钮
个人信息被修改
CSRF(token)
修改个人信息时,服务器会对token进行校验,想要通过csrf修改个人信息,就要知道当前(上一次响应时返回的)token,由于token是每次访问都会更新的,所以token是防止csrf的方法