pikachu漏洞平台学习笔记3_Cross Site Request Forgery(跨站请求伪造)

最新推荐文章于 2023-10-13 16:11:29 发布
最新推荐文章于 2023-10-13 16:11:29 发布
阅读量169 收藏
点赞数
分类专栏: pikachu漏洞平台学习 网络安全 文章标签: 信息安全 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38933307/article/details/115271953
版权
本文详细介绍了CSRF(跨站请求伪造)攻击的原理,包括攻击者如何通过伪造链接欺骗用户,以及攻击发生的两个必要条件。同时,区分了CSRF与XSS(跨站脚本)攻击的不同点。在确认CSRF漏洞方面,列举了如不验证旧密码和缺少token验证等情况。最后,展示了GET和POST方式下的CSRF攻击实例,强调了即使退出或关闭浏览器,攻击仍可能发生的事实。
摘要由CSDN通过智能技术生成

1.漏洞描述

攻击者伪造一个链接欺骗用户点击,一旦用户点击,便完成攻击。

2.攻击条件

(1):目标网站没有对修改个人信息修改的请求进行防CSRF处理,导致该请求容易被伪造

(2)被攻击者已经登陆目标网站,若没有登陆,就无法发起攻击

3.CSRF和XSS区别

(1)CSRF借助用户权限完成攻击,攻击者没有拿到用户权限,只是构造了修改个人信息的链接,利用被攻击者在登陆状态下点击链接而达到被攻击的目的。

(2)XSS直接利用用户权限,然后攻击。

4.确认CSRF漏洞

(1)修改管理员账号时,不需要验证旧密码

(2)修改敏感信息时,不需要token验证

(3)虽然退出或关闭了浏览器,但是cookie仍然有效,或session没有及时过期,导致CSRF攻击变得简单

5.攻击

5.1 CSRF(get)

(1)以用户Lucy身份登陆,编辑信息

用burpsuite截断信息,修改

假设用户vince收到攻击者的链接,原来信息为

点击后为

5.2 CSRF(post)

这里明天再搞了

 

 

 

 

 

 

 

 

 

 

 

 

紫云路传说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pikachu---CSRF漏洞
m0_52822871的博客
09-01 351
一.定义 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中
pikachu漏洞练习环境
10-25
"pikachu漏洞练习环境" 是一个专门为网络安全爱好者和专业人士设计的平台,旨在提供一个实践和学习漏洞利用技术的环境。这个环境可以帮助用户提升在网络安全领域的技能,了解常见漏洞的原理,以及如何检测和修复它们...
跨站请求伪造-Cross-site request forgery
weixin_34284188的博客
08-01 159
2019独角兽企业重金招聘Python工程师标准>>> ...
pikachu之CSRF漏洞
miaositekali的博客
03-02 237
pikachu的csrf
Pikachu靶场——CSRF漏洞
知世郎
08-10 508
CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。也被称为 one-click attack 或者 session riding。
pikachu渗透测试平台,最新版本,最稳定版本
06-28
对于学习渗透测试的人来说,找到一个目标用来练习渗透测试技术很重要,尤其是现在国家在这方面的监管很严格,所以搭建一个渗透测试平台用来练习是很多学习渗透测试的人特别是初学者的最佳选择。Pikachu是一个带有...
pokemon-detective-pikachu_arabic-1996226_cxbdfh_Detective_
10-03
【标题】"pokemon-detective-pikachu_arabic-1996226_cxbdfh_Detective_" 暗示了这是一个与《名侦探皮卡丘》(Detective Pikachu)相关的资源,可能是一部电影或动画的阿拉伯语版本。"arabic" 表明内容是阿拉伯语...
WEB渗透学习-pikachu靶场练习
04-20
pikachu是一个开源靶场,适用于新手学习WEB安全时练习使用,内涵XSS漏洞、sql注入漏洞、SEC漏洞、文件上传(下载)漏洞、文件包含漏洞以及越权漏洞
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞
06-08
Pikachu是一个基础漏洞平台,使用PHP语言和Mysql数据库,搭建相对简单: 1、下载phpstudy 2、选择合适位置安装,路径不要使用汉语和特殊字符 3、将下载好的源码解压放在 /phpstudy_pro/www/ 4、首先启动 phpstudy的 ...
pikachu靶场-->CSRF漏洞详解
最新发布
unlash的博客
10-13 437
pikachu靶场CSRF漏洞详解,通关教程,漏洞介绍,防御措施,漏洞检测,漏洞危害
Cross-site request forgery 跨站请求伪造
weixin_34310127的博客
01-16 256
Cross-site request forgery 跨站请求伪造 简称为CSRF或者XSRF,通过伪装来自受信任用户的请求来利用受信任的网站 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作 get请求,在url中带入中很多参数,url显示在浏览器中,url参数的值可以被任意处篡改 比如你期待查询一个结果...
DVWA系列(五)——使用Burpsuite进行CSRF(跨站请求伪造
weixin_45116657的博客
09-18 2116
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与X...
Cross-Site Request Forgery (CSRF)
zhigangsun的专栏
04-20 5280
Overview CSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated. With a little help of social engineering (like sending
跨站请求伪造(Cross-Site Request Forgery:CSRF)解决方案
weixin_33806300的博客
07-06 751
2019独角兽企业重金招聘Python工程师标准>>> ...
谈谈跨站攻击CSRF(Cross-Site Request Forgery)
elef的博客
05-21 220
最近刚收到一份关于网站的检测报告,其中【可能存在CSRF攻击】占了很大比重 网上搜索下资料才知道CSRF是什么: 简单来说就是在用户不知情的情况下, 令一个网站向另外一个网站发出处理请求。基于Cookie的用户验证、授权已经不能完全保证网站的使用安全了。 那如何处理这个问题那? 其实处理这个问题也十分简单,如果要保证请求是来自同一个网站,需要在表单中加入隐...
跨站请求伪造CSRF (Cross-site request forgery)
太阳晒屁股了的博客
11-14 527
CSRF原理:CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 一,CSRF攻击流程:其中Web A...
CSRF(Cross-site request forgery跨站请求伪造
qq_41348545的博客
03-04 3347
这篇文章将会解释什么是CSRF,列举一些常见的CSRF漏洞案例,并解释如何避免CSRF攻击。 什么是 CSRF? CSRF是一个web安全漏洞,攻击者会利用这种漏洞引诱用户进行一些本来不想进行的行为。SOP(same origin policy)是设计出来防止不同网站互相影响的,但是利用这个漏洞,攻击者可以部分绕过它。 CSRF攻击有什么影响? CSRF攻击一旦完成,攻击者会强迫受害者进行一些行为。例如,修改用户的email地址,修改密码,或者进行资金转移。攻击者甚至可以完全获取对用户账户的控制权。
完美诠释csrf漏洞
让一切变得简单
01-19 748
Csrf是什么 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以什么 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货...
pikachu漏洞平台sql注入攻略
05-11
接下来,我们可以通过以下步骤进行Pikachu漏洞平台的SQL注入攻击: 1. 确定目标 我们需要先确定攻击的目标,可以使用一些工具进行信息搜集和目标识别,例如:Nmap、Wappalyzer等。 2. 找到注入点 找到目标网站中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值