CSRF漏洞案例---POST型

最新推荐文章于 2024-10-17 10:00:00 发布
最新推荐文章于 2024-10-17 10:00:00 发布
阅读量1.9k 收藏 5
点赞数 2
分类专栏: web 安全 文章标签: csrf 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ethan024/article/details/115026974
版权
本文探讨了CSRF漏洞的一个实例,专注于POST型攻击。通过皮卡丘靶场的实验,展示了如何在用户的个人资料中,利用POST请求体进行参数篡改,从而改变性别、地址和邮箱。Burpsuite被用来生成并测试PoC,证明了即使参数通过POST传递,CSRF攻击仍有可能发生。
摘要由CSDN通过智能技术生成

CSRF漏洞案例—POST型(本文仅供技术学习与分享)

实验环境:
皮卡丘靶场—CSRF—CSRF(POST)

实验步骤:

  1. 在原始的个人资料上进行修改,将性别改成Female,地址改成Beijing,邮箱改为lucy@qq.com:
    在这里插入图片描述
    在这里插入图片描述

  2. 查看burpsuite,发现请求通过POST方式提交,参数是通过请求体传输,因此无法通过URL伪造参数;
    在这里插入图片描述

  3. 如图在burpsuite生成PoC
    在这里插入图片描述
    在这里插入图片描述

  4. 将Beijing改为Sh

最低0.47元/天 解锁文章
汉堡哥哥27
关注
专栏目录
【基础篇】第03篇:PHP代码审计笔记--CSRF漏洞1
08-03
通过对DocCms2016中的CSRF漏洞案例分析,我们可以看到即使是最简单的功能也可能成为攻击的目标。因此,开发者在设计Web应用时必须重视安全性,并采取必要的措施来防止此类漏洞的发生。同时,对于已经存在的漏洞,应...
Web前端安全学习-CSRF
程序员阿飘 的博客
03-12 79
今天下午上了一堂前端安全的课,挺有意思,记录下来。在上课之前,我对安全的概念是:用户输入是不可信的,所有用户的输入都必须转义之后才入库。然后,上面这个这种方式,仅仅是防止SQL注入攻击,避免业务被渗入。在数据库有了一层安全保护之后,攻击者们的目标,从转移到了用户身上。由此,出现了CSRF攻击和XSS攻击。
Pikachu靶场——跨站请求伪造(CSRF)
来日可期的博客
10-07 1390
全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密码等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
ewii12567的博客
08-15 1205
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
WEB安全之-CSRF(跨站请求伪造)
weixin_43964148的博客
06-21 577
WEB安全之-CSRF(跨站请求伪造) WEB安全中经常谈到的两个东西:XSS和CSRF。 这两个概念在前端面试中也经常被问到,只要涉及到WEB安全的东西就必须提到他们哥俩,从我以往的面试经历中我多次死在这两个东西上,知道这两个东西但让我仔细描述下就瞎几把乱扯,结果可想而知。 这几天也查阅了相关书籍,终于把这两个东西搞明白了,为此决定写篇文章来记录他们俩以备今后复习,这篇先介绍CSRFCSRF是什么鬼 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Cl.
CSRF跨站请求伪造的GET情况和POST情况攻击和防御详解
Zeker62的博客
08-14 4764
CSRF 英文名:cross-site request forgery 叫做跨站请求伪造 CSRF不是很流行,但是具有很高的危险性,相比于XSS更加难以防范。 CSRF攻击效果:攻击者盗用身份,以被害者的姓名执行某些非法操作。比如使用账户发邮件、获取敏感信息,盗取银行账户。 CSRF攻击原理 当打开某个网站的时候,可以在网站上 进行一些操作,比如发邮件发消息 当结束会话的时候,这个网站可能会让你重新登录,或者提示身份过期,这是这个web在防范CSRF攻击的手段。 CSRF攻击是建立在会话之上的,比如.
CSRF漏洞原理攻击与防御(非常细)
m0_61869253的博客
10-12 3441
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
csrf 的get和post方式的利用
mastergu2的博客
08-10 7116
CSRF的简单介绍 引用一下pikachu的官方描述: CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 这里列举一个场景解释一下,希望能够帮
AJAX以及跨域情况下POST请求出现CSRF问题的解决方案
Blossom
03-07 5305
CSRF是什么? AJAX中处理CSRF的解决方案 系统和环境描述: JSP页面 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
CSRF(跨站请求伪造)
无痕的博客
01-18 8508
csrf跨站请求伪造介绍、csrf攻击在dvwa环境中的应用
74cms v5.0.1 后台跨站请求伪造漏洞 CVE-2019-11374.md
04-08
74CMS v5.0.1的CSRF漏洞是一个典的例子,展示了在Web应用开发中对于安全性的忽视可能导致的严重后果。此漏洞利用简单,影响较大,因此管理员应尽快升级到安全版本,或采取相应的安全措施来防止潜在的攻击。对于...
漏洞详情之挖掘浅析-漏洞银行大咖面对面27-秋色伊人
01-08
- POST注入:通过表单提交实现。 - COOKIES注入:通过Cookies携带恶意代码实现。 - **成因**:程序设计时未能有效过滤或验证用户输入的数据,使得恶意SQL命令得以执行。 - **防御措施**: - 使用预编译的参数...
命令执行+CSRF
06-11
2. **POSTCSRF**:相比GETPOSTCSRF更难以被发现,因为它不直接体现在URL上。攻击者可能通过表单提交或者Ajax请求来伪造POST请求,执行类似更新用户资料、转账等敏感操作。 要防止这类攻击,应用开发者应...
常见Web安全漏洞的实际案例和攻防技术
02-15
### 常见Web安全漏洞的实际案例和攻防技术 #### 一、SQL注入攻击与防范 **实际案例** 在Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过向应用程序发送恶意SQL代码来操纵数据库。例如,考虑一个简单的...
(29.1)【CSRF详解】CSRF原理、利用过程、分类、举例、工具……
04-06 9934
一个细节都不不想放过
pikachu靶场CSRF-post测试报告
最新发布
ccc_9wy的博客
10-17 551
pikachu靶场渗透;csrf漏洞复现;post方式请求;web漏洞网络安全;身份验证;
CSRF | POST CSRF 漏洞攻击
Blue17 の 小窝
10-07 1423
攻击者通过在站点中嵌入恶意代码,诱使受害者访问,当用户访问了嵌套恶意代码的站点,代码就会模拟用户的点击操作,伪造用户的身份向第三方存在 CSRF 漏洞的接口发起请求,进而误导第三方站点以为是受信用户的操作。因为接口的传参很有规律,所以攻击者可以很轻松的伪造符合规则的请求包给后端,后端无法校验该请求包是否是用户主动发起的,只知道,这个请求包是受信用户发送过来的,所以很自主的认为,这就是受信用户的主动操作。上面的操作,还需要用户手动点击表单的提交按钮,接下来,我们编写代码,让表单自动提交。然后,攻击就完成了。
CSRF漏洞详解
xcxhzjl的博客
11-19 3250
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
CSRF
2302_80044238的博客
04-12 1034
csrf中文名称是跨站请求伪造听起来好像和xss(跨站脚本攻击)差不多,但实际上差别很大 csrf是伪造成该网站的信任用户来进行非法访问 而xss是直接通过js代码进行非法输入来获取用户的具体信息比如:cookie。
无防护CSRF漏洞利用详解-GET与POST
"该资源主要探讨了无防护的CSRF(Cross-Site Request Forgery,跨站请求伪造)漏洞的利用方法,分为GETPOST两种情况。内容包括代码分析和实际利用示例,旨在帮助理解CSRF攻击的原理和防范措施。" **CSRF漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汉堡哥哥27

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值