CSRF跨站请求伪造-漏洞复现及靶场搭建

已于 2023-09-15 15:56:50 修改
阅读量79 收藏
点赞数
分类专栏: 跨站请求CSRF漏洞 文章标签: csrf 前端
于 2023-08-28 20:10:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58265086/article/details/132546869
版权

CSRF漏洞复现

1.用户登录
在这里插入图片描述
2.创建环境,需要对bank新建一个数据库。
在这里插入图片描述

3.打开数据库,并新建一个数据库
在这里插入图片描述
4.创建数据库

create database bank;
//删除数据库 drop database bank;

在这里插入图片描述
5.进入新创建的数据库,和导入外部文件

use bank;
source D:\\software\\phpstudy\\WWW\\CSRF\\CSRF\\bank.sql;
由于此处是右斜线,需要对其增加右斜线,才能保证正常运行。

到此处数据库创建完毕
打开数据库下的列表。
在这里插入图片描述
展开成员列表

select * from member;

在这里插入图片描述
设置成员hacker银行金额为0

update member set money=0 where id=6;

在这里插入图片描述
2.建立两个受害者和一个攻击者。在这里插入图片描述
2.点击刚才这里的CSRF链接,每点击一下就给hacker转账。
在这里插入图片描述
3.在这里插入图片描述
4.总结原理
在这里插入图片描述
在这里插入图片描述

手打-通天路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞
CSRF(跨站请求伪造)漏洞
weixin_50464560的博客
08-25 1291
CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网站 用户需要被诱导打开攻击者构造的恶意网站 攻击过程 .
Web安全——CSRF跨站请求伪造漏洞
2402_83242246的博客
04-29 745
CSRF,全称Cross-site request forgery,即跨站请求伪造,也被称为one-click attack或者XSRF,是一种攻击者利用受害者尚未失效的身份认证信息(如cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密等)的攻击方法。
CSRF跨站请求伪造——原理及复现
qq_41679358的博客
08-11 3234
转自行云博客https://www.xy586.top/ 原理 CSRF(Cross-site request forgery)跨站请求伪造:通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。 与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性 你这可以这么理解CSRF攻击:攻击者盗用了.
CSRF漏洞复现
m0_57485346的博客
03-15 1973
CSRF与XSS的区别:CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的权限,而XSS是直接盗取到了用户的权限,然后实施破坏。发现地址直接改成了taiyuan,而我们没有对页面进行任何操作,只是把url改了一下。hack要在不知道Kevin的账号密码情况下,修改Kevin的地址信息。1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号。2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。然后我们把这条请求当中的地址(add)改成taiyuan。去短连接生成网站转成短连接。
漏洞CSRF跨站请求伪造漏洞,springboot修复思路
a987212198的博客
02-15 3932
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。
河南省高校联盟战队课件11 CSRF跨站请求伪造&复现与利用)
尘玥的故事
04-15 392
个人介绍 id:故事 普通的web喵CSRF跨站请求伪造)#详细点:CSRF全称:Cross-site request forgery,即,跨站请求伪造,也被称为 “One Click Attack” 或 “Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。举个生活中的例子:就是某个人点了个奇怪的链接,自己什么也没输,但自己的qq号或其他的号就被盗了。即该攻击可以在受害者不知情的情况下以受害者名义伪造请求,执行恶意操作,具有很大的危害性。CSRF的攻击过程两个条件
CSRF 漏洞原理详解及防御方法
weixin_30248399的博客
08-09 2430
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。 例如:请求http://x.com/del.php?id=1 是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击者把这个页面嵌套到其他网站中<img src= “http://x.com/del.php?id=1”> 再把这个页面发送给管理员,只要管理员打开这个页面,同时浏览器也会利用当前登陆...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF漏洞-pikachu平台
W小哥
04-17 361
CSRF-GET 访问目标网站如下图所示 点击右边的提示有账号密码 登录lucy账号 修改个人信息用burpsuite抓包 发现其参数直接用get提交,并且没做什么认证(即攻击者不需要任何用户的信息即可构造请求,如果防御的话我觉得应该利用cookie等认证用户的信息添加到get请求里) 用户点击该网站链接时会以用户的身份提交攻击者提前准备好的数据 此时我们推出lucy用户登录grady用户...
CSRF漏洞测试案例
weixin_33989780的博客
02-08 807
CSRF***流程为:***者发现CSRF漏洞——构造代码——发送给受害人——受害人打开——受害人执行代码——完成***完成***成功的条件:管理员正在网站后台,或则管理员的session并没有失效。测试网站:owaspbwa环境中的DVWA应用环境测试内容为CSRF漏洞如图所示:修改登陆密码的HTTP请求内容如下:GET /dvwa/vulnerabilit...
CSRF漏洞基础学习(笔记)
部分学习记录
08-05 459
CSRF原理 CSRF漏洞定义 CSRF(Cross-site request forery,XSRF)跨站请求伪造,也被称为One Click Attack或Session Riding。 CSRF与XSS的区别: 1、XSS利用站点内的信任用户,盗取cookie 2、CSRF通过伪装成受信任的用户请求受信任的网站 CSRF漏洞原理 利用目标用户的合法身份,以目标用户的名义执行某些非法操作 例如: 转账链接:http://www.xxx.com/pay.php?user=xx&money=100
CSRF靶场通关合集
weixin_72543266的博客
07-07 836
最进系统的将从web渗透到内网渗透的知识点做一个回顾,同时结合一些实战的案例来演示,下面是对刚开始学习时对靶场的一个总结.
如何搭建互联网医院系统源码?医疗陪诊APP开发实战详解
meihusdk的博客
07-11 157
希望本文能够为正在或即将从事相关开发的技术人员提供一些参考和帮助。通过不断的努力和创新,我们可以为患者提供更优质的医疗服务,推动医疗行业的数字化转型。
finalshell发布前端项目到阿里云
最新发布
坚持原创
07-11 74
有个缺点就是lite-server命令行窗口一关闭服务就停止,所以建议用nginx服务。cd /usr/local/nginx/sbin,启动nginx服务器。用lite-server启动的项目端口是3000,要添加安全组,如下。cd /nginx执行./configure生成nginx文件。这个密码,finalshell连接服务器的时候要用到。也可以下载node,不用nginx。也可以解压到/usr/local。重启nginx web服务器。安装nginx前需要依赖。解压nginx压缩包。
Node多版本管理器NVM安装使用
GongWeiBuQi的博客
07-11 117
安装node很方便,只需要一条命令可以轻松切换node版本可以多版本node并存。
一个使用Go语言和现代Web技术构建跨平台桌面应用程序开源项目
yunmoon的博客
07-10 789
Wails作为一个桥梁,连接强大的Go后端逻辑与丰富的Web前端界面,允许开发者利用两者的最佳特性来开发应用。
Haproxy搭建Web群集
wkysdhr的博客
07-08 911
Haproxy 是目前比较流行的一种群集调度工具,同类群集调度工具有很多,如LVS 和Nginx。相比较而言,LVS 性能最好,但是搭建相对复杂;Nginx的upstream模块支持群集功能,但是对群集节点健康检查功能不强,高并发性能没有 Haproxy好。
CSRF跨站请求伪造漏洞
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值