CSRF漏洞 一、跨站请求伪造概述 1、定义 攻击者利用服务器对用户的信任。也被称之为one click攻击攻击者伪造一个用户发送给服务器的正常请求,其核心是用已登录的用户发请求。 2、攻击要点 服务器没有对操作来源进行判断,如ip referer受害者处于登录状态攻击者需要找到一条可以修改或敏感信息的请求 二、使用burp构造钓鱼网站 进入CSRF,做修改密码操作,burp抓包在抓包的页面中,右键,生成CSRF POC将生成的HTML网页复制到攻击服务器下,访问此地址诱使用户点击,完成攻击,修改用户的密码 三、token校验机制