Pikachu 漏洞练习平台 --CSRF漏洞

最新推荐文章于 2024-05-26 08:00:00 发布
最新推荐文章于 2024-05-26 08:00:00 发布
阅读量508 收藏 1
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/E08640104/article/details/119760733
版权
本文通过实例展示了CSRF(跨站请求伪造)漏洞的两种常见类型:GET和POST,以及它们如何导致用户信息被篡改。同时,介绍了防止CSRF攻击的关键策略——使用CSRF Token。CSRF Token通过在每次请求中添加一个随机验证码,增强了请求的安全性,防止了敏感操作被伪造。
摘要由CSDN通过智能技术生成

1、CSRF(get)

 先点击右上角的提示,看到有好几个用户呢,用vince进行登录

登录后修改个人信息

在burpsuite找到这个请求,右键send to repeater

 

修改页面内容点击go

 刷新靶场,看到页面内容被篡改啦 

 如果被攻击者此时登录状态或cookie/session没有过期,则她的信息被篡改,存在csrf漏洞

2、CSRF(post)

同理,登录后修改请求,页面信息被篡改

 3、CSRF token

试了半天没法篡改了,原来这个例子是告诉我们

CSRF的主要问题是敏感操作容易被伪造,我们可以加入Token让请求不容易被伪造

  • 每次请求,都增加一个随机码(需要够随机,不容易被伪造),后台每次对这个随机码进行验证
哈哈普拉斯
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVMA-渗透测试漏洞练习平台
12-02
DVMA-渗透测试漏洞练习平台, 其中内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境
Pikachu漏洞练习平台CSRF
qq_45688322的博客
07-20 502
CSRF 1.1 原理: 利用目标用户的合法身份,以用户的名义执行某些非法操作 1.2 Get型CSRF 点击提示 获取账号密码 随意登录一个账户 打开Bp 点击修改个人信息 点击提交submit 可以看到这就是修改账户信息的链接 ,复制出来,可以放到image等资源标签中,诱使用户点击,修改信息 当用户点击链接时,就会修改掉当前账户的信息 1.3 POST型CSRF 登录账户并且点击修改个人信息 打开Bp,点击submit提交 获取到地址,可以自己编写一个html文件,使用form表单提交
pikachu靶场中的CSRF、SSRF通关
最新发布
qq_68163788的博客
05-26 1958
Pikachu靶场中,CSRF(Cross-Site Request Forgery)和SSRF(Server-Side Request Forgery)是两种常见的Web安全漏洞CSRF攻击利用用户在已认证的Web应用程序上执行未经意的操作,通过伪装请求来执行恶意操作,例如更改用户密码或发送资金。而SSRF漏洞则允许攻击者从受害服务器上执行请求,可能导致访问内部系统、绕过防火墙或执行其他恶意操作。
漏洞练习平台
weixin_43543330的博客
10-09 569
WebGoat漏洞练习平台: https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台: https://github.com/710leo/ZVulDrill vulapps漏洞练习平台: https://github.com/Medicean/VulApps dvwa漏洞练习平台: https://github.com/RandomS
Pikachu漏洞练习平台实验——CSRF(三)
wjwqp的专栏
03-01 679
概述 CSRF 是Cross Site Request Forgery的 简称,中文名为跨域请求伪造 在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接) 然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了 所以CSRF攻击也被称为“one click”攻击 攻击场景例子 lucy想要在购物网站上修改购物地址,这个操作是lucy通过浏览器...
漏洞练习平台
qq_37751425的博客
05-14 488
WebGoat漏洞练习环境 https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy Damn Vulnerable WebApplication(漏洞练习平台) https://github.com/RandomStorm/DVWA 数据库注入练习平台 https://github.com/Audi-1/sqli-labs 用node编写的漏洞练习平台,like OWASP Node Goat https://
pikachu漏洞练习环境
10-25
"pikachu漏洞练习环境" 是一个专门为网络安全爱好者和专业人士设计的平台,旨在提供一个实践和学习漏洞利用技术的环境。这个环境可以帮助用户提升在网络安全领域的技能,了解常见漏洞的原理,以及如何检测和修复它们...
pikachu-master.zip
06-25
Pikachu靶场,正如其名,以其全面的漏洞练习和丰富的实践环节,成为提升网络安全技能的理想平台。 靶场的核心在于模拟实际漏洞,帮助我们理解和应对各种网络威胁。在这个靶场中,你可以接触到如SQL注入、XSS跨站...
WEB渗透学习-pikachu靶场练习
04-20
pikachu是一个开源靶场,适用于新手学习WEB安全时练习使用,内涵XSS漏洞、sql注入漏洞、SEC漏洞、文件上传(下载)漏洞、文件包含漏洞以及越权漏洞
pikachu-master
05-04
将下载的pikachu-master压缩包解压到指定目录,如`/opt`: ``` sudo tar -zxvf pikachu-master.tar.gz -C /opt ``` 进入解压后的目录: ``` cd /opt/pikachu-master ``` 5. 配置Pikachu 使用文本编辑器...
Detective Pikachu Wallpaper New Tab-crx插件
04-06
语言:English 这是皮卡丘侦探壁纸新标签的扩展 当您安装侦探皮卡丘壁纸新标签扩展时,获取自定义的侦探皮卡丘新标签壁纸以及其他更多功能。侦探皮卡丘壁纸新标签扩展功能附带的功能-窗口右上角的本地时间时钟。...
CSRF漏洞-pikachu平台
W小哥
04-17 374
CSRF-GET 访问目标网站如下图所示 点击右边的提示有账号密码 登录lucy账号 修改个人信息用burpsuite抓包 发现其参数直接用get提交,并且没做什么认证(即攻击者不需要任何用户的信息即可构造请求,如果防御的话我觉得应该利用cookie等认证用户的信息添加到get请求里) 用户点击该网站链接时会以用户的身份提交攻击者提前准备好的数据 此时我们推出lucy用户登录grady用户...
pikachu漏洞练习平台XSS
m0_55854679的博客
05-09 3090
XSS案例 get方式获取cookie图解 pkxss管理后台使用介绍 在绝对路径D:\phpstudy_pro\WWW\pikachu-master\pkxss下找到pkxss管理后台。 也可以点击,pikachu靶场的左侧漏洞栏最下面的管理工具下的xss后台,并进行初始化安装。 初始化安装后,输入页面提示的用户名和密码,即可成功进入pkxss管理后台。 get方式获取cookie方法 在目录D:\phpstudy_pro\WWW\pikachu-master\pkxss\xcookie下找
pikachu漏洞练习平台实战
yellowO的博客
12-29 852
文件上传成功文件保存的路径为:{$upload['new_path']}
Pikachu漏洞练习平台做题记录+原理解析(1)暴力破解
自知.的博客
08-23 3344
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。本文为我的pikachu靶场做题记录,可供参考。文章内容为入门级,小白也学得会。
DWVA之csrf漏洞原理、防御及练习
m0_71635484的博客
03-16 441
DWVA之csrf漏洞原理、防御及练习
Pikachu漏洞练习平台 之 暴力破解
m0_65712192的博客
10-30 710
Pikachu漏洞练习平台 之 暴力破解
选个“靶子”练练手:15个漏洞测试网站带你飞
tasty
09-16 3585
俗话说进攻是最好的防御,而这与信息安全世界并没有什么不同。通过这15个故意存漏洞网站来提升你的黑客技能,你会成为最好的防守者——无论你是一名开发人员、安全管理者、审计师或者测试人员。请牢记:熟能生巧! 1、Bricks Bricks是一个建立于PHP、使用MySQL数据库的web应用程序,其中含有漏洞并且每个“brick”程序块包含一个需要进行缓解安全漏洞。这是OWASP的一个项目,不仅为教学
一个CSRF靶场练习
NEARU的专栏
12-02 1965
CSRF_TEST xss+csrf漏洞测试小靶场 难度递升的6个题目,第6个的技巧还是有的:正则取数据,延时请求。 靶场逻辑: 一个留言板功能(另一个上传html文件作为漏洞点)作为漏洞点+后台一个进程(admin_bot.py)模拟管理员访问留言板的内容。 文章目录CSRF_TEST代码运行poc1.get csrf2.post csrf1. 虚拟表单2. 异步请求3.JSON base...
pikachu漏洞练习
10-20
此外,Pikachu漏洞练习环境可以直接放在apache中的www目录下即可,如果遇到不会安装的问题,可以向相关人员咨询。在Pikachu平台中,我们可以通过添加密码字典的方式进行暴力破解,但是如果密码字典中没有真正的密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值