CSRF是一种利用合法用户的权限进行恶意操作的网络攻击。它发生在用户已登录且具有权限的情况下,攻击者通过伪造请求来执行关键操作。防止CSRF的方法包括使用安全的tokens、验证码以及实施严格的逻辑流程,如在修改密码时验证旧密码。文章通过实例展示了如何识别和尝试CSRF攻击,强调了网站需要实施防护措施的重要性。
是什么
1、我们判断一个网站是否存在CSRF漏洞,其实就是判断其对关键信息(比如密码等敏感信息)的操作(增删改)是否容易被伪造。
2、本质是借用户的权限完成攻击,因此攻击成功需要用户已经通过验证获得了权限,并触发了攻击者提供的请求。
3、网站如果要防止CSRF攻击,则需要对敏感信息的操作实施对应的安全措施,防止这些操作出现被伪造的情况,从而导致CSRF。比如:
–对敏感信息的操作增加安全的token;
–对敏感信息的操作增加安全的验证码;
–对敏感信息的操作实施安全的逻辑流程,比如修改密码时,需要先校验旧密码等
怎么做
1
点击提示进行了用户登录
在修改过程中url无直接变化
burp抓包发现如下
url发现了隐形的小小变化 水豚抓住小机会来试一试
尝试在登录后的信息页面修改url 发现不跳转也不修改
于是在点击修改信息之后再修改url 发现修改成功
扫一扫
1586
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
