CSRF学习

最新推荐文章于 2024-09-24 09:19:59 发布

x3c

最新推荐文章于 2024-09-24 09:19:59 发布

阅读量215

点赞数 2

文章标签： csrf 学习安全

本文链接：https://blog.csdn.net/m0_63017297/article/details/139643219

版权

CSRF跨站请求伪造，攻击者盗用你的身份，以你的名义进行非法操作，获取敏感信息，盗取你的财产。

攻击流程

CSRF与XSS漏洞的区别

靶场实例

CSRF（get请求）

登陆账号点击修改信息，burp看到参数在get请求头中，对数据进行修改

修改完后访问url查看结果

http://pikachu.shifa23.com/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=18656565545&add=huaian&email=lili%40pikachu.com&submit=submit

http://pikachu.shifa23.com/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=18656565545&add=huaian&email=lili%40pikachu.com&submit=submit

http://pikachu.shifa23.com/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=18656565545&add=huaian&email=lili%40pikachu.com&submit=submit 已修改完成

CSRF（post请求）

点击修改人信息后去burp查看包信息，无法从url中构造攻击

右键报文发送到CSRF POC

生成html文件后，访问点击按钮修改成功

手机信息已被修改

常见CSRF方式

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

x3c

关注关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

CSRF 学习

weixin_47306547的博客

10-10

515

目录 CSRF定义 CSRF能够做到的事 CSRF攻击关键 CSRF攻击流程（原理） CSRF利用的前提条件 CSRF攻击方式 1.挟持用户 2.让用户执行非本意的操作。 CSRF漏洞的分类 1.GET CSRF 2.POST CSRF CSRF 漏洞的防御 1.无效防御 2.有效防御 CSRF定义 CSRF（Cross-Site Request Forgery）是跨站请求伪造，也常被称为 “OneClick Attack” 或者 “Session Ridin...

CSRF学习笔记

星落

11-25

592

Crose-Site Request Forgery，跨站请求伪造，攻击者利用服务器对用户的信任，从而欺骗受害者去服务器上执行受害者不知情的请求。

参与评论您还未登录，请先登录后发表或查看评论

CSRF学习简记

weixin_61675401的博客

04-26

132

csrf学习

zl52111的博客

03-23

183

小亮学csfr 1. 大致介绍：跨站请求伪造漏洞利用社会工程学的方法诱导客户点击一些链接本质不是受害者的意愿发起的。从信任角度来说：csrf是利用站点对已经身份认证的信任在用户非自愿不知情的情况下提交的请求。可以进行： …修改账号密码，个人信息 … 发送伪造的业务请求（网银，购物，投票） … 关注他人社交账号，推送博文等 2.利用方法是一种业务逻辑漏洞，利用的是服务器端对关键操作缺少确认机制，自动扫描程序无法发现此类漏洞。 3.利用条件： …被害用户已经完成

安全-CSRF学习分享

qq_41056410的博客

02-22

3127

什么是 CSRF CSRF（Cross-Site Request Forgery）的全称是“跨站请求伪造”，也被称为“One Click Attack”或者“Session Riding”，通常缩写为CSRF或者XSRF。攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。 CSRF攻击其实是利用了web中用户身份认证验证的一个漏洞：简单的身份验证仅仅能保证请求发自某个用

csrf学习笔记（Python）

zhagn_zhen的博客

11-21

用户的每一个请求都会刷新token，因此为了获取新鲜可用的token，采用ajax或者引入jQuery进行异步提交，不刷新用户页面的情况下先获取token，再进行信息修改。2、用外部引入js的形式，写进用户的服务器中（下面仅仅是举个例子，实际中要找用户服务器上我们可以进行输入的地方，比如服务器上的留言、发帖等可以被用户加载到的地方）1、用户愿意点击链接（如果对方服务器存在xss漏洞，写一个存储型xss，只要用户加载页面就会实施我们伪造的请求，不过既然都写存储型了，何必再用csrf）

CSRF学习笔记之CSRF的防御

收集盒 Book box

10-17

2115

referer 验证根据HTTP协议,在http请求头中包含一个referer的字段,这个字段记录了该http请求的原地址.通常情况下,执行转账操作的post请求www.bank.com/transfer.php应该是点击www.bank.com网页的按钮来触发的操作,这个时候转账请求的referer应该是www.bank.com.而如果黑客要进行csrf攻击,只能在自己的网站www

CSRF基础学习

A1andNS's Blog

12-16

302

这是一篇关于CSRF的简单的了解学习博文。适合初步了解时阅读。

CSRF跨站请求伪造CSRF PHP demo代码

05-04

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种网络攻击方式，攻击者通过诱导用户在已登录的网站上执行非预期的操作。...通过学习和分析这个demo，我们可以更好地保护我们的Web应用免受这种类型的攻击。

命令执行+CSRF

06-11

在IT安全领域，命令执行和CSRF（Cross-Site Request...通过深入学习和实践，我们可以提高系统的安全性，减少被攻击的风险。提供的PPTX文件可能包含了详细的案例分析、漏洞利用步骤和防御方法，建议详细阅读以加深理解。

CSRF学习以及一些绕过referer的方法

不想当脚本小子的脚本小子

01-23

2510

跨站请求伪造，原理：——两个关键点：跨站点的请求以及请求是伪造的攻击者盗用了用户的身份，以用户的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作 1. 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A； 2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A； 3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B； 4. 网站B接收到用户请求后，返回一些攻击性代

CSRF中级防御绕过

zhuge_long的专栏

09-23

168

1）回顾low级别做过csrf页面的密码重置，重复之前的操作，我们发现级别调整中级之后，报错如下。

CSRF高级防御绕过

zhuge_long的专栏

09-23

237

1）回顾low级别做过csrf页面的密码重置，重复之前的操作，我们发现级别调整中级之后，报错如下。4）发现参数中有user_token，所以就去查看页面元素，发现了一个隐藏的input。8）登录后，访问xss-store，触发js。3）在dvwa-csrf页面上，抓包。

计算机毕业设计之：基于微信小程序的诗词智能学习系统（源码+文档+解答）

程序员阿龙的博客

09-22

4472

博主介绍： ✌我是阿龙，一名专注于Java技术领域的程序员，全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师，我在计算机毕业设计开发方面积累了丰富的经验。同时，我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导，我致力于帮助更多学生完成毕业项目和技术提升。技术范围：我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方

D15【python接口自动化学习】-python基础之内置数据类型

tian_nx的博客

09-22

608

为字典增加或移除键值对，如果新增键已存在，则更新该键对应的值...

Spring Boot 学习和使用