DVWA-old (老版本)csrf

最新推荐文章于 2024-07-09 19:58:28 发布
最新推荐文章于 2024-07-09 19:58:28 发布
阅读量851 收藏 10
点赞数 14
文章标签: csrf 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W286734/article/details/136051509
版权
本文讲述了如何在Burp抓包工具中利用CSRF漏洞,通过构造特定链接在目标系统上绕过Referer检查,成功修改密码的过程,包括设置恶意文件和使用localhost作为请求地址以隐藏真实源IP。
摘要由CSDN通过智能技术生成

csrf

low

打开burp抓包,发现是get请求,尝试在burp中修改密码,发下可以直接修改成功
在这里插入图片描述
根据url地址栏中的信息构造链接 ,将此链接放在.html为后缀的文件并将此文件放在本地www目录下,在保持登陆状态点击此链接就可以完成修改在这里插入图片描述
此时已经完成了修改在这里插入图片描述

medium

本关有一个Referer 字段,后面跟的请求来源的地址。当我们正常修改密码中请求包的Referer 字段与我们修改请求包中的Referer 字段不同时,是会被拦截的,如下面两张图,上一张的Referer 字段与正常修改密码的相同,第二张的请求地址则修改了,可以从响应中看出第二张图是不能成功的。
在这里插入图片描述在这里插入图片描述
因此我们要想办法使Referer 字段保持不变。
可以尝试绕过,或者在恶意文件中添加referer字段。由于修改密码是在目标者的电脑上,请求地址当然也是目标者的地址,在不知道目标ip地址,将请求地址设为localhost即可。

玖龍的意志
关注
  • 14
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA--Command Injection(命令执行)--四个等级
1stPeak's Blog
10-29 3772
Command Injection,也就是我们常说的命令执行,DVWA共有四个等级 索引目录 Low Medium High Impossible Low 源代码: <?php if( isset( $_POST[ 'Submit' ] ) ) { // Check Anti-CSRF token checkTok...
CSRF(三)dvwa靶场实验
03-04 388
CSRF(三)dvwa靶场实验
Web安全漏洞分析-XSS(中)
qq_61861243的博客
11-28 717
2011年6月28日,国内最火的信息发布平台之一一一新浪微博 (http://weibo.com) 遭遇XSS蠕虫攻击,受害者被强迫发布带有攻击链接的私信或微博,内容类似“个税起征点有望提到4000”、“3D肉蒲团高清普通版种子”、“可以监听别人手机的软件”等含有诱惑性的信息。通常情况下,为了防御跨站脚本攻击,会在Web应用中设计一个XSS Filter,即跨站脚本过滤器,用于分析用户提交的输入,并消除潜在的跨站脚本攻击、恶意的HTML或简单的HTML格式错误等。
接上一篇dvwa学习,今天写Brute Force Source(暴力破解)
caption88的博客
01-10 302
就是dvwa练习的第一个项暴力破解。 第一方面我们普及一下怎么判断可以暴力破解:简单来说就是几个字,用户和密码可以多次输入。复杂来讲就是这个链接:没有找到讲这个,那么我这个二把刀就来讲一下:看它登录页面就只有账号,密码。 接下来讲一下dvwa里面四个等级的解析, low级,简称白痴级别,官方给的英文为以下:The developer has completely missed out any...
DVWA-master.zip
01-04
DVWA-master.zip文件包含了整个DVWA项目的源代码和相关资源,是学习和研究网络安全的理想工具。 1. **DVWA的结构与功能** DVWA由多个安全级别组成,包括“低”、“中”、“高”和“不可能”,每个级别都包含不同...
DVWA-master.7z 压缩包
09-14
这个"DVWA-master.7z"压缩包包含了完整的DVWA源代码和其他相关文件,用于在本地环境中搭建一个模拟的脆弱Web应用。 为了正确地使用这个压缩包,首先你需要下载它并使用解压缩工具(如7-Zip)将其解压。解压缩后,你...
CSRF靶场通关合集
weixin_72543266的博客
07-07 839
最进系统的将从web渗透到内网渗透的知识点做一个回顾,同时结合一些实战的案例来演示,下面是对刚开始学习时对靶场的一个总结.
【论文阅读笔记】ASPS: Augmented Segment Anything Model for Polyp Segmentation
qq_46056318的博客
07-08 633
ASPS:用于息肉分割的扩展SAM模型2024年 arxivPaperCode息肉分割在结直肠癌诊断中起着至关重要的作用。最近,Segment Anything Model(SAM)的出现利用其在大规模数据集上的强大预训练能力,为息肉分割带来了前所未有的潜力。然而,由于自然图像和内窥镜图像之间的区域差距,SAM在实现有效的息肉分割方面遇到了两个限制。首先,它的基于变压器的结构优先考虑全局和低频信息,可能会忽略局部细节,并在学习的特征中引入偏差。
生物化学笔记:电阻抗基础+电化学阻抗谱EIS+电化学系统频率响应分析
ResumeProject的博客
07-06 1544
阻抗通常用复数表示(这是一个二维表示),包括实部(用来表示电阻成分,对幅值的影响)和虚部(用来表示电感或电容成分,对相位的影响)。
MyBatis框架学习笔记(一):MyBatis入门
2301_76144723的博客
07-08 467
MyBatis 中文手册:(1)https://mybatis.org/mybatis-3/zh/index.html(2)https://mybatis.net.cn/Maven 仓库:https://mvnrepository.com/ 仓库作用:需要什么 jar 包,搜索得到对应的 maven dependency传统的 Java 程序操作 DB 分析-工作示意图(1)MyBatis 是一个持久层框架 (2)前身是 ibatis, 在 ibatis3.x 时,更名为 MyBatis (3)MyBati
Hugging Face使用笔记
人无远虑,必有近忧
07-09 1491
Hugging Face Hub和 Github 类似,都是Hub(社区)。Hugging Face可以说的上是机器学习界的Github。hugging face在NLP领域最出名,其提供的模型大多都是基于Transformer的。
Vue笔记12-新的组件
王劭阳的博客
07-07 342
是一个内置组件,用来在组件树中协调对异步依赖的处理。它让我们可以在组件树上层等待下层的多个嵌套异步依赖项解析完成,并可以在等待时渲染一个加载状态,需要结合异步依赖,才能看到效果。在Vue3中,可以没有div根标签,如果没有的话,Vue3会将多个标签包装在一个。在Vue2中,template标签内,必须有一个div标签,作为根标签。是一个内置组件,可以将一个组件内部的模板传送到该组件DOM外部的位置去。
【算法笔记自学】第 5 章 入门篇(3)——数学问题
qq_62704693的博客
07-06 2027
【代码】【算法笔记自学】入门篇(3)——数学问题。
vb.net&cad二开自学笔记2:认识vs编辑器
nianfen的博客
07-06 285
认识一下宇宙第一编辑器的界面图标含义还是很重要的,否则都不知道面对的是什么还怎么继续?变量长方体:变量局部变量两个矩形块:枚举预定义的枚举紫色立方体:方法橙色树状结构:类灰色块:自定义的代码片段接口/typedef向左对齐的关键字图标倒着脸的结构体图标显得规规矩矩的宏定义图标大括号的命名空间图标事件属性委托。
javascript高级部分笔记
喵喵的博客
07-09 1257
javascript高级部分 Function方法 与 函数式编程 call 语法:call([thisObj[,arg1[, arg2[, [,.argN]]]]]) 定义:调用一个对象的一个方法,以另一个对象替换当前对象。 说明:call 方法可以用来代替另一个对象调用一个方法。call 方法可将一个函数的对象上下文从初始的上下文改变为由 thisObj 指定的新对象。 如果没有提供 thisObj 参数,那么 Global 对象被用作 thisObj。 let myName = 'goudan
C++学习笔记
最新发布
qq_45882170的博客
07-09 1001
默认参数值只能在函数声明中指定,而不能在函数定义中指定。如果同时有声明和定义,并且两者都试图为同一个参数指定默认值,这会导致编译错误。
『大模型笔记』GraphRAG:用于复杂数据发现的新工具现已在GitHub上发布
AI新视界
07-09 458
GraphRAG:用于复杂数据发现的新工具现已在GitHub上发布
《算法笔记》总结No.4——散列
前端,算法,MATLAB,统计学爱好者,目前主攻Web全栈+考研内容
07-07 724
散列的英文名是hash,即我们常说的哈希~该知识点在王道408考研的教材里面属于的范围。即便各位并无深入了解过,也听说过散列是一种更高效的查找方法。
dvwa-master zip
07-28
dvwa-master zip是一个开源的漏洞脆弱性应用程序,用于进行网络安全测试和漏洞扫描。 具体而言,dvwa-master zip是一个基于PHP和MySQL开发的靶场平台,旨在帮助用户了解和学习网络安全漏洞。它模拟了多种常见的Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值