DVWA练习——CSRF(跨站请求伪造)

已于 2022-01-27 13:34:44 修改
阅读量484 收藏 1
点赞数
分类专栏: 练习 文章标签: csrf 安全 web安全
于 2022-01-27 13:32:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoaaao/article/details/122703679
版权

一、难度:low

(1)随便点击一下change,网页上面已经显示出了修改信息的url值。

(2)直接修改即可:

回车,信息已经修改:

新密码测试成功:

(1)点击html打开,然后验证,发现失败

将html文件放在vul同级目录然后打开,验证失败:

抓包可以看到这里的链接是close

将html文件改为ip.html

验证成功

(2) 失败原因:

/***

CSRF ————(二)绕过http_referer来源核对_Benjiamin D的博客-CSDN博客

***/

抓包查看失败的和成功的进行对比

失败:

 成功:

查看源代码:

发现是referer抵御csrf攻击,因此保证返回的referer值中有一部分与host对应以骗过服务器的检测。

三、难度:high

/***token值防csrf攻击,需要通过受害者cookie获取token值

DVWA之CSRF(跨站请求伪造攻击)_谢公子的博客-CSDN博客_dvwa跨站请求伪造

详细解法

***/

按照csrf攻击的话,应该是上面👆的解法,但是我抓包看了一下,是get请求,直接就能修改url里的个人信息,修改完就直接forward然后就可以了,这个题干嘛还要这样设置

四、难度:impossible

        发现imposssible需要输入原始密码才能修改密码,黑客在不知道原始密码的前提下无法实施csrf攻击,🤷‍♀️🤷‍♀️🤷‍♀️

 

haoaaao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DVWA练习CSRF
c_xx__的博客
10-31 402
csrf低中高级以及防御 攻击者:物理机,admin登录 被害者:1337登录 低级: a.源码: 服务器收到修改密码的请求后,会检查参数pass_new与pass_conf是否相同,如果相同,则会更新数据库,修改密码,并没有任何的防CSRF机制 b.操作步骤: 法一:发送修改密码的链接给被害者 保存链接,被害者访问链接: 密码成功更改 原密码登录失败: 更改后的密码登录成功 但是这样的链接目的过于明显,可以换为短链接: 法二:将修改密码的链接写入脚本网页 复制修改密码的链接,在kali上写脚本
DVWA实战测试之CSRF
0xdawn的博客
01-30 426
0x01 Low级别 源码分析 <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? ...
DVWA漏洞靶场-跨站请求伪造(CSRF)
07-30 299
漏洞原理:   CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,C...
DVWA通过教程之跨站请求伪造CSRF
→_→
09-16 342
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。 更多原理请参考:浅谈“跨站请求伪造CSRF)”-干货满满 测试CSRF,要求能够不通过该页面即可修改用户登录密
CSRF靶场练习
Flynn的博客
03-22 1927
Bodhi - Client-side Vulnerability Playground CSRF
跨站攻击(XSS+CSRF).docx
最新发布
01-05
攻击的关键在于攻击者可以伪造用户的请求,而目标网站无法区分这个请求是否来自真正的用户。 为了防范CSRF攻击,通常有以下几种策略: 1. 验证Token:在每个可能执行敏感操作的表单中添加一个随机的、一次性有效的...
pikachu,dvwacsrf详细步骤
05-17
1. CSRF跨站请求伪造):CSRF是一种网络攻击方式,攻击者通过构造恶意请求,利用受害者在目标网站上的已登录身份执行非预期的操作。在这个例子中,Pikachu和DVWA(Damn Vulnerable Web Application)是用于教学...
DVWA练习平台
04-24
5. **跨站请求伪造(Cross-Site Request Forgery, CSRF)**:CSRF攻击利用用户已登录的身份执行非预期操作。在DVWA中,用户可以学习如何设置有效的CSRF令牌,以防止这种类型的攻击。 6. **弱认证与会话管理**:DVWA...
DVWA-master.7z 压缩包
09-14
- 跨站请求伪造CSRF):攻击者利用用户的已登录状态,诱使用户进行非预期的操作。 - 文件包含漏洞:允许攻击者将外部文件内容包含到应用中,可能导致代码执行或信息泄露。 - 弱认证与会话管理:不安全的登录机制或...
pikachu----csrf练习
ptxybird的博客
06-16 252
pikachu--CSRF跨站请求伪造练习
DVWA 实验报告:3、跨站请求伪造 CSRF
看那白熊
05-14 1617
跨站请求伪造的复现
CSRF跨站请求伪造DVWA演示)
qq_45070118的博客
08-01 380
CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因...
DVWAcsrf解题
Bird&Bird
01-30 241
目录Low LevelMedium LevelHigh Level Low Level 查看低级难度题的源码,可知没有做任何限制。 <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? i
一步一步学习DVWA--CSRF跨站请求伪造攻击(第五期)
manok的专栏
12-15 367
小朋友们,今天我们开始学习CSRF跨站请求伪造攻击。 CSRF是Cross-site request forgery的首字母拼写,中文一般称为跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。早在 2007 年就...
dvwacsrf
qq_17762247的博客
05-15 352
一、简介 CSRF是指在受害人不知情的情况下,以其身份向服务器发送服务器发送请求,从而执行非法操作(转账,改密等)。以转账为例,受害人A使用浏览器登录某银行网站B完成查看余额操作后,在未退出的情况下访问了攻击网站C,C利用浏览器中的Session伪造转账请求发送给B,由于B发现该转账请求包含用户登录信息,转账成功。Cross-site是指受害者在访问网站C时给网站B发送了请求,request forgery是指该请求是网站C伪造的,并不是A的本意。 二、Low 1、服务器端代码 <?php if(
DVWA的简单题解——CSRF
dogeace的博客
11-19 524
经过听网课,自己搭建了一个DVWA环境。在此对网课的知识进行总结,写出这篇DVWA的题解。下面进入正题。 学习指导漏洞的分析如何利用漏洞LOW等级测试漏洞的修复 漏洞的分析 我们进行DVWA 的过关前先认识什么是CSRF漏洞 ,CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨
dvwa CSRF(跨站伪造请求)通关手册
lyy0xfff的博客
08-14 412
ContentsPreface本博文仅用于信息安全教学,切勿用于其他用途CSRFLowSource CodeSolutionMediumSource CodeSolutionHighSource CodeSolutionImpossibleSource CodeSolution Preface 本博文仅用于信息安全教学,切勿用于其他用途 CSRF CSRF (跨站伪造请求)是一种网络攻击方式,该攻击 可以在受害者毫不知情的情况一下以受害者名义伪造请求 发送给受攻击站点,从而在未授权的情况下执行在权限保护之
csrf讲解+DVWA-csrf练习
qq_63087425的博客
06-06 827
csrf(cross-site request forgery):跨站请求伪造CSRF攻击利用网站对于用户浏览器的信任,攻击者挟持用户的登录信息,向网站发送一些并非用户本意的请求,执行一些操作。在CSRF攻击中,攻击者通过控制用户浏览器发送恶意的额外请求,破坏会话完整性为何攻击者可以控制用户浏览器?根据浏览器的安全策略,允许当前页面发送到任何地址的请求,所以,当用户在受信任的网站中点击了攻击者的恶意链接后,就进入了攻击者构造的页面,这个页面是不受用户控制的,于是攻击者就可以通过控制自己构造的页面来控制用户的
dvwa跨站请求伪造 (csrf)
09-13
跨站请求伪造CSRF)是一种攻击方式,利用用户已经通过身份验证的会话执行非预期的操作。 在DVWA中,CSRF可以被用作一种漏洞进行攻击。攻击者可以通过在受害者浏览器中注入恶意代码或链接,来诱使用户执行某些不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

haoaaao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值