渗透测试:通过Jmeter实现CSRF(Cross-site request forgery)跨站请求伪造攻击

最新推荐文章于 2023-12-04 23:46:16 发布
置顶 最新推荐文章于 2023-12-04 23:46:16 发布
阅读量2.8k 收藏 7
点赞数 5
分类专栏: Jmeter接口性能测试 软件测试 文章标签: jmeter CSRF OWASP 渗透测试 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq19970496/article/details/101016612
版权

首先介绍CSRF的攻击原理,我们才能更好进行攻击。

CSRF攻击原理

CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击。

攻击过程如下:

生成cookie:用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中;
获取cookie:攻击中构建一条恶意网站web2的链接,受害者打开恶意链接后,将把本地保存的cookie信息送到恶意网站web2;
伪造攻击:网站web2通过收到的用户A的cookie值,向网站web1发起恶意请求,例如转账支付,获取身份信息等目的。
使用到的工具:fiddler抓包工具,Jmeter

攻击步骤

1,获取cookie值
登录网站,通过fiddler抓包工具,获取登录成功后的请求头中的cookie值。大家肯定奇怪,明明访问首页的时候就已经生成了cookie值,为什么还登录呢?虽然cookie值在打开首页时就已经生成,但此时的值未与具体用户关联,最多为游客的cookie值,因很多权限登录成功后才能访问,只有登录成功后才会将cookie值与用户进行关联。
在这里插入图片描述

2,实现CSRF攻击
1)在Jmeter中添加“HTTP Cookie管理器”;
在这里插入图片描述
填写cookie值,一般是JSESSIONID和域名;
在这里插入图片描述
2)添加攻击请求
添加进行攻击的目标请求地址和请求参数;
在这里插入图片描述
3)发起攻击
执行请求,查看结果。
在这里插入图片描述
成功实施攻击。
至于如何去修复这个漏洞,只能有劳开发大伽们了。

索菲亚李
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Jmeter进行稳定性测试
WEL测试
06-22 1万+
首先,创建你要进行稳定性测试的脚本 我创建的脚本树如下: 2.场景设置 LOGIN使用事务循环控制器 线程组设置并发用户数200 在启动1s,200并发用户全部启动 循环设置为永远 采用调度器:有两种工作方式 1.设置启动和结束时间 2.设置持续时间,我设置的是10小时 给登录接口设置个timer:timer信息如下: 目标吞吐量:24000TPS/MIN=400tp
这样使用JMeter压测,将你的网站带入深渊!JMeter压测让你的服务器瞬间炸裂
m0_60054525的博客
03-30 500
学完这整套教程,拿下大厂30k到50k不是问题。2:全栈性能测试,监控以及调优。5:devops持续集成部署。9:全栈系列课企业项目实战。3:全栈测试开发平台实战。4:全栈安全测试渗透测试。6:全栈接口测试工具进阶。7:跨平台自动化测试工具。8:大厂简历,真题,录音。
渗透测试:通过Jmeter实现CSRF跨站请求伪造攻击
软件测试技术资源分享官
07-20 230
CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击
jmeter使用
perfect88888的博客
04-22 566
windows漏洞多,安全性差, linux下明显内核健全一点 都是字符界面比图形界面响应快,不易死机啊。数据量处理是有优势的。 经常用每秒查询率来衡量域名系统服务器的机器的性能,其即为QPS。 QPS = 并发量 / 平均响应时间 并发量 = QPS * 平均响应时间 流量大的时候用压测,单击QPS负载情况如何 常见的压测工具有jmeter、loadrunner不过以前用loadru...
使用JMeter进行网站性能测试
最新发布
weixin_64724697的博客
12-04 990
这篇文章只是让大家熟悉初步的性能测试流程,在后续的学习中,也会逐步为大家呈现更成熟更完美的流程。
jmeter-grpc-request-1.1.2.jar
11-09
jmeter压测grpc接口需要的jar包
jmeter-results-detail-report_21接口测试报告优化-展示具体的请求及返回值
10-29
【标题】"jmeter-results-detail-report_21接口测试报告优化-展示具体的请求及返回值"涉及的关键知识点主要集中在接口测试、JMeter工具以及测试结果报告的详细展示上。接口测试是软件测试的重要组成部分,主要验证...
jmeter-analysis-maven-plugin-it:jmeter-analysis-maven-plugin 的集成测试
05-30
jmeter-analysis-maven-plugin-it jmeter-analysis-maven-plugin 的集成测试。 构建状态 Buildhive CI: 描述: 用于运行测试。 它包含一个pom.xml ,其中包含的完整配置。 运行测试时,jmeter-analysis-maven-...
零成本实现Web性能测试:基于Apache JMeter
04-14
本书首先介绍基础的性能测试理论,接着详细介绍如何使用jmeter完成各种类型的性能测试。实战章节中作者以测试某大型保险公司电话销售系统为例,手把手教会读者如何用jmeter来完成一个实际的性能测试任务。  本书...
压力测试工具:apache-jmeter-5.0
12-10
Apache JMeter是一款强大的、开源的压力测试工具,专为评估应用程序的性能和稳定性而设计。它最初是为了测试Web应用,但随着时间的发展,其功能已经扩展到支持多种协议和服务,包括HTTP、FTP、SMTP、JDBC、SOAP、RMI...
网络渗透技术关于网络渗透的资源
04-16
这是一个关于网络渗透的资源, 对于广大的网络编程爱好者使用个帮助,
CSRF(跨站请求伪造)详解
Y22Lee的博客
04-10 1610
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。当发现网站存在CSRF漏洞时,攻击者会利用网站源码,构建一个存有恶意请求的网站或者是链接,引诱受害者访问,那么当受害者在访问攻击伪造的网站,同时,又在访问攻击攻击的目标网站且没有关闭会话,那么攻击者就成功完成了CSRF攻击攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
Jmeter 对于登录带有csrf防跨域的登录方法总结
qq_34258189的博客
07-05 3914
1,首先通过浏览器检查,查看接口登录需要的数据_csrf-portal:xxxxxLogin[org_code]:XXXXX Login[username]:XXXXX-----用户名Login[password]:XXXXX-----密码Login[remember]:0------不记住用户Login[remember]:1------记住用户2,了解一下csrf防跨域的登录方法这个图是...
DVWA 之 Cross Site Request Forgery (CSRF)
baynk的博客
10-29 2254
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ CSRF...
Pikachu之CSRF解题
Bird&Bird
07-03 525
目录概述CSRF(get)CSRF(post)CSRF(token) 概述 CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 这里列举一个场景解
Jmeter 测试带有防XSRF的网站
苦逼的小马的博客
09-07 451
XSRF也称是CSRF跨站请求伪造),是一种网络的攻击方式。 在对某个网站测试时,使用fiddler进行抓包,查看登录获取的cookie数据。 将cookie信息写入到jmeter的cookie管理器中去。 再编写登录后要进行的业务操作。 然后执行jmeter脚本。 查看结果树,发现登录成功了,但是进行业务操作失败了。 查看响应信息,响应说是XSRF-TOKEN无效。 难道是正则表达式写错了?,但是在添加Debug PostProcessor查看变量之后,XSRF-TOKEN是有信
使用Jmeter对网站进行性能测试
热门推荐
huyao的博客
08-21 1万+
1. 使用BadBoy录制脚本 在地址栏中输入对应网址 在左边添加步骤,这一点比较重要,最好不要将操作混在一起。每个操作有他对应的响应时间。 点击【File -> export to JMeter】,到处录制的脚本。 2. 配置JMeter 1. JMeter打开脚本 左键点击Thread Group, 2. 添加监听器 一般添加:察看结果数量,聚合报告,图形结果...
使用JMeter对网站并发性测试
weixin_33704234的博客
11-20 758
目录结构: contents structure [+] 1. 下载JMeter 2. 启动JMeter 1) 建立线程。 2) 设置请求服务器、压力链接等信息 3) 查看运行结果 3,分析数据 Apache JMeter是Apache组织开发的基于Java的压力测试工具。用于对软件压力测试,它最初被设计用于We...
jmeter对http get网站访问压力测试
discovery的博客
10-24 5119
一 安装     下载jdk安装包   http://www.oracle.com/technetwork/java/javase/downloads/jdk9-downloads-3848520.html 根据操作系统选择对应的包安装, 下载好安装包后,直接根据提示安装    下载apache jmeter安装包  http://jmeter.apache.org/downl
An error occurred: Could not read JMeter properties file:D:\Jmeter\apache-jmeter-5.5\bin\jmeter.properties errorlevel=1
07-28
请确保路径 D:\Jmeter\apache-jmeter-5.5\bin\jmeter.properties 是正确的,并且文件是否存在。另外,还要确保文件对 JMeter 进程是可读的。 如果文件存在并且可读,可以尝试以下解决方法: 1. 确保文件路径中没有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

索菲亚李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值