pikachu 之CSRF(跨站请求伪造)get和post型

于 2024-07-23 17:29:37 发布
阅读量791 收藏 6
点赞数 30
分类专栏: pikachu 文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LIU6636LIU/article/details/140641860
版权

CSRF(跨站请求伪造)

概念
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种攻击方式,攻击者通过伪造用户的请求,欺骗受害者在不知情的情况下执行不想要的操作。这种攻击利用了用户已经在目标网站上通过身份验证的状态(如登录状态),从而以用户的身份发送恶意请求。
工作原理
  1. 用户在某个网站(比如银行网站)上登录并获得一个会话令牌(Cookie)。
  2. 用户在没有退出登录的情况下,访问了一个恶意网站。
  3. 恶意网站中包含了指向银行网站的恶意请求,比如转账请求。
  4. 用户的浏览器会自动带上银行网站的会话Cookie,从而完成转账操作。
  5. 银行网站因为接收到了合法的Cookie,会认为请求是合法用户发起的,从而执行操作。
get型
登录进去之后随便修改一下提交
然后就开始在网络中寻找我们提交的数据包
发现了什么
post型
首先登录一个账号然后修改它的信息
然后burp抓包
抓包后(这不好截图一截图页面就下去了toude 图)
然后就找到html把他保存下来
这个时候把html发给lucy让他打开
这是lucy现在的信息
打开html后
你一点你就会发现lucy信息变了为kevin
网安小趴菜
关注
专栏目录
pikachu 跨站请求伪造 CSRFPOST
全村的希望
10-23 1347
pikachu 跨站请求伪造 CSRFPOST
pikachuCSRF-post
最新发布
weixin_57240513的博客
07-24 169
第一步:登录用户名。
csrf(post)
weixin_50887021的博客
06-26 407
csrf实验准备实验环境实验步骤 实验准备 实验环境 卡利、xshell、火狐浏览器、burpsuite 实验步骤 1.实验所需脚本 111qqq.php <html> <head> <script> window.onload = function() { document.getElementById("postsubmit").click(); } </script> </head> <body> <form metho
关于csrf下的post请求笔记记录
Shuo的博客
03-03 439
关于csrf下的post请求笔记记录
Spring Security CSRF解决POST请求验证问题
09-23 1万+
.post或者其他的.post 或者其他的.post或者其他的.ajax请求不能访问后台,代码都是对的,但是请求都到不了后台,经过了多方排查,花了几个小时我终于知道了原因。记录一下。 在看浏览器的html代码时发现了有一个隐藏表单 原来是我使用了Spring Security Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。...
pikachu-CSRF(跨站请求伪造)
a1245678899的博客
11-10 625
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。点击修改个人信息然后使用burpsuite抓包可以看到这个数据的传输过程是get,数据包含在URL之中直接在URL之中构造包含自己信息的网址,伪造一下,诱导用户去点击。当链接被点击以后,可以看到信息已经被修改。
pikachu-CSRF跨站请求伪造
weixin_50342860的博客
05-23 380
CSRF漏洞概述 在CSRF的攻击场景中攻击者会伪造一个请求 (这个请求一般是一 个链接) 然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了。 所以CSRF攻击也被称为" one click"攻击。 CSRF(get) 正常情况下,我们登录(权限)后,编辑好修改的内容,点击提交(修改请求),即可完成个人信息的修改 修改个人信息用burp抓包查看是否存在CSRF 将抓到的包发送-------Engagement tools---------Generate CSRF PoC 点击C
pikachu——CSRF跨站请求伪造)攻击
haoaaao的博客
01-27 381
/*** csrf攻击步骤: (1)目标用户登录login受信任网站a,并在本地生成cookie; (2)目标用户在不登出logout a的情况下,访问恶意网站b,或者恶意链接url,其目的就是想让目标用户在自己电脑上执行恶意代码。 ****/ 一、csrf(get) 有提前设置好的用户信息:lili 123456,登录后可以看到信息,现在假设lili为受害者,使用csrf攻击修改lili的个人信息。 1、法一: (1)登录lili,修改个人信息,然后burpsuite抓...
pikachu靶场 :三、CSRF 跨站请求伪造
qq_43233085的博客
01-29 1162
pikachu靶场 :三、CSRF 跨站请求伪造CSRF 概述CSRF(get)CSRFpostCSRF Token CSRF 概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。 所以CSRF攻击也成为"one click"攻击...
CSRF--跨站请求伪造
weixin_44940180的博客
08-11 178
原理 攻击者盗用身份以用户名义发送恶意请求 可能用到的标签 <link href=" "> <img src=" "> <iframe src=" "> <script src=" "> csrf与xss的区别 GET 分析源码可以看出来检查了 HTTP_REFERER中是否包含SERVER_NAME 所以不能随意构造一个URL诱使管理员点击 所以,我们可以将攻击页面命名为192.168.3.3.html就可以绕过了 原本数据库中管理员的密码为
CSRF(跨站请求伪造漏洞)
2301_76160896的博客
12-04 411
CSRF详解
Web前端安全学习-CSRF
程序员阿飘 的博客
03-12 73
今天下午上了一堂前端安全的课,挺有意思,记录下来。在上课之前,我对安全的概念是:用户输入是不可信的,所有用户的输入都必须转义之后才入库。然后,上面这个这种方式,仅仅是防止SQL注入攻击,避免业务被渗入。在数据库有了一层安全保护之后,攻击者们的目标,从转移到了用户身上。由此,出现了CSRF攻击和XSS攻击。
CSRF跨站请求伪造的GET情况和POST情况攻击和防御详解
Zeker62的博客
08-14 4642
CSRF 英文名:cross-site request forgery 叫做跨站请求伪造 CSRF不是很流行,但是具有很高的危险性,相比于XSS更加难以防范。 CSRF攻击效果:攻击者盗用身份,以被害者的姓名执行某些非法操作。比如使用账户发邮件、获取敏感信息,盗取银行账户。 CSRF攻击原理 当打开某个网站的时候,可以在网站上 进行一些操作,比如发邮件发消息 当结束会话的时候,这个网站可能会让你重新登录,或者提示身份过期,这是这个web在防范CSRF攻击的手段。 CSRF攻击是建立在会话之上的,比如.
CSRF漏洞原理攻击与防御(非常细)
m0_61869253的博客
10-12 3410
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF(跨站请求伪造)
无痕的博客
01-18 8488
csrf跨站请求伪造介绍、csrf攻击在dvwa环境中的应用
跨站请求伪造(CSRF)、主机头攻击、非GET/POST方法预防,一篇就够!
慢慢
06-19 1113
当前在处理系统安全测试缺陷问题时,发现诸多安全问题,记录解决过程和方法,分享共勉。解释:在计算机网络中,主机头攻击是一种网络安全攻击方式,它利用了网络协议栈中的缺陷,以伪造的IP地址为源地址向网络发送数据包,目的是在欺骗目标主机,使其认为这些数据包是从指定的合法源发出的,并从而欺骗目标主机执行一些攻击者预期的动作。主机头攻击通常也被称作,攻击者会伪造数据包中的。
跨域post 及 使用token防止csrf 攻击
热门推荐
ymark
12-30 3万+
1.利用iframe进行跨域post提交 2.csrf的攻击和防御措施 3.使用token保护请求 4.关于webapp跨域提交的问题
pikachu靶场csrf通关post
08-16
您好!对于Pikachu靶场的CSRF通关,您需要使用POST请求来成功完成。具体步骤如下: 1. 首先,您需要了解目标网站的CSRF防护机制。通常情况下,目标网站会在用户进行敏感操作时,要求附带一个CSRF令牌(或称为防护令牌)作为验证。该令牌是动态生成的,每次请求都会改变。 2. 打开Pikachu靶场,并找到适合练习CSRF的目标页面。可以通过查看源代码或使用开发者工具来分析页面的结构和请求。 3. 在发起POST请求之前,您需要获取有效的CSRF令牌。可以通过以下几种方式来获取: - 查找页面源代码:有些网站将CSRF令牌嵌入到HTML源代码中,您可以通过搜索关键词(如“csrf”、“token”等)来找到并提取令牌。 - 使用开发者工具:在浏览器的开发者工具中的Network选项卡中,可以查看请求头中是否包含CSRF令牌。如果有,请将其提取出来。 - 通过其他方式:有些网站可能会将CSRF令牌存储在Cookie中或作为请求参数传递。您可以使用相应的方法来获取令牌。 4. 获取到有效的CSRF令牌后,您可以构造POST请求并添加必要的参数。在请求头中,务必包含正确的CSRF令牌,以通过服务器的验证。根据具体情况,您可能还需要添加其他必要的参数,比如用户名、密码等。 5. 发送POST请求,并解析服务器返回的响应。根据具体要求,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安小趴菜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值