本文介绍了如何利用pikapika平台,通过模拟登录不同的账号,利用抓包工具获取GET请求,构造CSRF攻击,成功修改他人(Lucy)的个人信息的过程。
首先打开我们搭建好的pika pika,进入本节
点击提示,我们先登录一个账号(Lucy)
我们再打开一个网页进入另一个账号(lili)
现在我们模拟场景lili是我们自己创建的账号,而Lucy是我们选择要攻击人的账号,我们先在自己的账号上修改信息
我们打开BURP准备抓包,点击提交
可以看到,我们的GET请求全都在数据包中,我们就可以将GET请求加上网站网址封装成为CSRF,然后发送给lucy,当Lucy打开此网页并点击了我们发送的CSRF是他的个人信息也会被修改,具体步骤如下,
向Lucy发送,我们这里模仿Lucy访问,可以先看一下我们现在的住址
我们访问一下CSRF网站
我们刷新一下lucy的页面
818
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
