前言
通过靶场学习csrf和xss基础
CSRF原理
跨站请求伪造,利用网站对用户网页浏览器的信任,劫持用户当前已登录的WEB应用程序,执行非用户本意的操作。
存在三个角色User、WebA(存在漏洞的网站)、WebB(黑客攻击)
1.User首先登录并信任WebA,WebA通过用户验证会分发User浏览器一个Cookie。
2.WebB向WebA添加链接方式诱导User访问网站WebB。
3.当User点击链接方式,即WebB利用User的浏览器房屋内WebA,发出操作请求。
4。User的浏览器会带着WebB的请求,带着第一步给的Cookie访问WebA。
由于WebA响应浏览器的请求会根据Cookie的分发来证明,所以不明白是User还是WebB,只知道谁发来Cookie就是谁。
xss原理
恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。
反射型
存储型
DOM型
靶场复现
这个复现是照着网上师傅的博客进行学习。学一下基础,之后再往深点学。
下载bodhi靶场,链接地址:靶场地址
apt install docker.io
docker pull amolnaik4/bodhi_app
docker run -p 80:80 -p 8000:8000 amolnaik4/bodhi_app
前提