文章目录
CSRF vulnerability with no defenses
通过实验给的账户去登录
然后利用BP抓更新邮箱地址的提交按钮
通过右键选择Engagement tools —>Generate CSRF POC 生成对应的伪造请求表单
复制这个表单
点击
复制到这个框中
保存,并交给受害者,即可完成实验
CSRF where token validation depends on request method
先登录实验室提供的账户,用bp抓点击修改邮箱地址的包,然后发到重放器,通过更改csrf令牌参数发现,请求被拒绝
通过右键选择改变请求方式,改成GET请求,
发现不需要验证csrf令牌了,剩下的步骤和第一关一样,生成POC并发给受害者,即可完成实验
CSRF where token validation depends on token being present
先登录实验室提供的账户,用bp抓点击修改邮箱地址的包,然后发到重放器,删掉csrf参数,发现可以成功发送并跳转
然后和上面的步骤一样生成POC发给受害者,即可完成实验