DVWA练习之CSRF csrf低中高级以及防御攻击者:物理机,admin登录被害者:1337登录低级:a.源码:服务器收到修改密码的请求后,会检查参数pass_new与pass_conf是否相同,如果相同,则会更新数据库,修改密码,并没有任何的防CSRF机制b.操作步骤:法一:发送修改密码的链接给被害者保存链接,被害者访问链接:密码成功更改原密码登录失败:更改后的密码登录成功但是这样的链接目的过于明显,可以换为短链接:法二:将修改密码的链接写入脚本网页复制修改密码的链接,在kali上写脚本
关注
