CSRF跨站请求伪造,攻击者盗用你的身份,以你的名义进行非法操作,获取敏感信息,盗取你的财产。
攻击流程
CSRF与XSS漏洞的区别
靶场实例
CSRF(get请求)
登陆账号点击修改信息,burp看到参数在get请求头中,对数据进行修改
修改完后访问url查看结果
http://pikachu.shifa23.com/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=18656565545&add=huaian&email=lili%40pikachu.com&submit=submit
CSRF(post请求)
点击修改人信息后去burp查看包信息,无法从url中构造攻击
右键报文发送到CSRF POC
生成html文件后,访问点击按钮修改成功
手机信息已被修改