Pikachu靶场练习记录--3--CSRF(跨站请求伪造)

于 2024-08-08 19:20:03 发布
阅读量151 收藏 2
点赞数 2
文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Quyu6666/article/details/141029472
版权

        1.简述   

        攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了 web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。    

        2.CSRF(get)

登录完成以后,点击修改个人信息用BP进行抓包

我们把他当成一个新的URL输入到浏览器其中去

如下图所示,我们登录以后可以清晰的发现手机号相较于原先进行了修改。修改的信息直接出现在URl里是严重的漏洞。

但是也诞生了一个问题,就是这个URL的长度太长了,我们可以找一个短链接生成网站进行短链接的生成,解决这个问题。百度一搜就有。

        3.CSRF(post)

做完这一步之后进行修改你想修改的值,我这里改的是电话号码。

在新的网页打开

点击按钮就可以了。

已经修改了。

        4.CSRF TOKEN

这个是完全防范CSRF的一种机制。每次请求都会在后台生成一个随机码,以此来防范。

喜欢喝粥.
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB渗透学习-pikachu靶场练习
04-20
pikachu是一个开源靶场,适用于新手学习WEB安全时练习使用,内涵XSS漏洞、sql注入漏洞、SEC漏洞、文件上传(下载)漏洞、文件包含漏洞以及越权漏洞等
本地靶场搭建--常见靶场环境集锦
04-28
在网络安全领域,靶场靶场环境)是用于模拟真实网络环境并进行安全测试和学习的重要工具。"本地靶场搭建--常见靶场环境集锦" 提供了一系列经典的靶场平台,帮助用户深入理解并实践各种安全漏洞。下面将详细介绍...
pikachu-master靶场
07-14
例如,在"pikachu-master"中,可能包括了不同难度级别的Web渗透测试练习,如SQL注入、XSS跨站脚本、命令注入等。这些练习通常会设置特定的漏洞,学习者需要通过分析HTTP请求、查看源代码、利用漏洞工具等方式来找出...
pikachu-master.zip
06-25
3. CSRF跨站请求伪造):攻击者利用用户的登录状态,发起伪装成用户的非法操作。了解CSRF的工作原理,学习使用CSRF令牌等方法来保护应用程序免受此类攻击。 4. 文件包含漏洞:当程序错误地处理文件路径时,可能会...
pikachu-volleyball:通过对原始游戏进行逆向工程将Pikachu排球实现为JavaScript
04-14
皮卡丘排球 ✓英语| 皮卡丘排球(対戦ぴかちゅ〜ビ ー チ バ レ ー编)是由“(C)SACHI SOFT / SAWAYAKAN Programmers”和“(C)Satoshi Takenouchi”在1997年开发的一种旧版Windows游戏。...
pikachuCSRF跨站请求伪造)get和post型
LIU6636LIU的博客
07-23 713
pikachuCSRF跨站请求伪造)get和post型
WEB渗透Web突破篇-SSRF
qq_59468567的博客
08-03 935
转码服务 在线翻译 获取超链接的标题等内容进行显示 请求远程服务器资源的地方,图片加载与下载(通过URL地址加载或下载图片) 图片、文章收藏功能 对外发起网络请求的地方,网站采集、网页抓取的地方。 头像 (远程加载头像) 一切要你输入网址的地方和可以输入ip的地方。 数据库内置功能(mongodb的copyDatabase函数) 邮件系统 文件处理 在线处理工具 从URL关键字中寻找:share、wap、url、link、src、source、target、u、3g、display、sourceURl、im
高德地图离线版 使用高德地图api的方法
m0_62336925的博客
08-02 591
然因为高德地图的瓦片地图太大,所以要让后端部署下 前端直接调用 如果本地 直接找到瓦片图路径就可以。这个代码把你想用的方法名保存到本地。这个时候会报错 因为没有这个方法。然后就可以正常使用这个方法拉。然后使用他的离线方法。找到对应的名字 复制。
html+css+js实现一个简单的电商商城首页
爱敲代码的卡拉米的博客
08-02 342
很多刚入门编程的小白学习了基础语法,却不知道语法的用途,不知道如何加深映像,不知道如何提升自己,这个时候每天刷自主刷一些题就非常重要(百炼成神),可以去牛客网上的编程初学者入门训练。2.💗【👇🏻👇🏻👇🏻关注我| 获取更多源码 | 优质文章】 带您学习各种前端插件、3D炫酷效果、图片展示、文字效果、以及整站模板 、大学生毕业HTML模板 、期末大作业模板 、等!绿泡泡:XiaoMei_NN。
探索WebKit之巅:开启现代网页应用的高效与兼容之旅
weixin_67239318的博客
08-03 494
随着现代网页应用的快速发展,WebKit作为先进的浏览器引擎,其在高效性和兼容性上的表现显得尤为重要。本文深入探讨了WebKit的架构和渲染机制,揭示了其在支持Web标准和提升浏览体验方面的关键技术。通过分析WebKit如何处理DOM操作、JavaScript执行与图形渲染等挑战,我们了解到优化WebKit性能不仅关乎算法和硬件的优化,还涉及网络协议和安全框架的理解。此外,本文讨论如何通过WebKit应对多设备和分辨率下的兼容性问题。掌握这些关键因素,对于开发者来说,是打造高效、兼容的现代网页应用的基础。
文章相关接口
qq_74474809的博客
08-03 275
跟着黑马程序员学习SpringBoot3+Vue3
小程序支付(前端
weixin_43993121的博客
08-05 288
【代码】小程序支付(前端
【Web】TFCCTF 2024 部分题解
uuzeray的博客
08-04 700
但是因为strtok代码本身存在错误,当传入的string末尾为:时,会传入none进token,继而让internal server error,从而重启服务,这样就可以将事先写入app/templates下的模板文件注册。这时候再审计代码,可以发现当/login路由查表成功,会调strtok去分割数据,再写入User返回。提示打SSRF,但限制死了前缀要是http://google.com/修改后,再以admin/123:登录,此时服务会报错,刷新即可重启服务。多了一个/,便不能用@绕过。
vuex知识
qq_16570607的博客
08-04 380
将getMoviesRankingInDouban的action用promise包装一下, 在此次请求结束后, 根据此次请求返回的电影的id, 根据id再次请求电影的信息。数据请求,在action中, 根据传入的参数(数字1-250)异步请求电影数据, 在请求完成后提交mutation。例子:在action中, 根据传入的参数(数字1-250)异步请求电影数据, 在请求完成后提交mutation。状态更改,在mutation中,将查询的结果(传入的参数), 赋值给state中声明的变量。
前端面试:项目细节重难点问题分享(十四)
weixin_49062485的博客
08-02 672
更多详情:爱米的前端小笔记(csdn~xitujuejin~zhiHu~Baidu~小红shu)同步更新,等你来看!都是利用下班时间整理的,整理不易,大家多多👍💛➕🤔哦!你们的支持才是我不断更新的动力!
前端Web-JavaScript(下)
Yu2uki的博客
08-03 1436
补全一下js,忘记了好回来看
vue实现PC端图片放大缩小可鼠标拖动,鼠标滚轮控制放大缩小完整代码付效果图
最新发布
a_靖的博客
08-07 158
vue实现放大缩小,拖动盒子完整代码付效果图
我们的前端开发逆天了!1 小时搞定了新网站,还跟我说 “不要钱”
努力做最接地气的编程干货分享,感谢关注
07-29 2946
本文将带你了解一个新的 Web 框架 **Astro**,并手把手带你使用 Astro 搭建一个属于自己的站点,用过的都说真香!
pikachu靶场通关sql-inject
09-24
为了通关pikachu靶场的sql-inject,您可以按照以下步骤进行操作: 1. 使用sqlmap工具进行数据库名的查询。您可以使用以下命令来查询数据库名为pikachu的所有表名:sqlmap -u ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值