0428 通过 csrf 进行地址修改实验演示

最新推荐文章于 2023-08-27 10:07:47 发布
最新推荐文章于 2023-08-27 10:07:47 发布
阅读量256 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42764906/article/details/89818756
版权

在CSRF 中 的CSRF(get)登陆lucy 账号(注:点击右边的皮卡丘会出现账号和密码)
在这里插入图片描述修改地址usa 改为 aaa
在这里插入图片描述
在BP上抓包
在这里插入图片描述GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=aaa&email=lucy%40pikachu.com&submit=submit

攻击者伪造的链接:
http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=bbb&email=lucy%40pikachu.com&submit=submit

被攻击者输入链接 地址被修改为bbb
在这里插入图片描述
视频中的链接:
在这里插入图片描述

在CSRF 中 的CSRF(post)登陆lucy 账号:无法通过url伪造这个请求
和xss (post )一样 我们需要去布一个自己站点 在这个站点上做一个表单 让Lucy点 恶意站点表单的url 通过这个表单的url 去向存在CSRF漏洞 的页面提交post请求就可以。

qq_42764906
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF漏洞概述及原理;通过CSRF进行地址修改实验演示;
qq_44696653的博客
05-05 324
CSRF漏洞概述和原理 cross-site request forgery简称为”CSRF“。 在CSRF的攻击场景中攻击者会伪造一个请求(一般是一个链接) 然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了。所以CSRF攻击也被称为”one click“攻击。 CSRF攻击成功的条件: 1.网站没有进行防范CSRF的处理。 2.攻击目标在点击链接时登陆了相关网站。 CSRF漏...
CSRF攻击演示
Leon_Jinhai_Sun的博客
05-22 164
创建银行应用 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupI
实验34:通过csrf进行地址修改实验演示
qq_44720671的博客
04-29 502
通过csrf进行地址修改 一、get型 我们以pikachu为例,打开CSRF(get) login 我们先用正确的账号密码进行登录,转到个人信息界面 我们利用burp suite进行抓包, 将get请求找到,然后自己注册一个账号,拿到修改个人信息的链接,这样可以修改成: 然后把这个链接发给A,若A在登录状态,并且打开链接,那么A的个人信息就会被修改掉: 二、post型 打开pikach...
CSRF攻击理解、简单演示与预防
子悠のziyou
10-28 1777
快速理解CSRF攻击原理与预防,并进行了简单的演示
csrf漏洞简介及实战演示
ldzhhh的博客
06-15 1189
简介 CSRF(Cross-site request forgery)中文名叫跨站请求伪造。csrf不攻击网站服务器,而是冒充用户在站内的正常操作。攻击者盗用被攻击者的身份,以被攻击者的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以被攻击者的名义发送邮件、发消息,盗取账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 原理 实战演示 靶场:dvwa 环境:Windows 10 1、修改密码,并用burpsuite拦截请求包 2、用burpsuite生成
CSRF漏洞的靶场实验
最新发布
09-19
在“CSRF漏洞的靶场实验”中,我们将通过实际操作来理解这种攻击方式以及如何防御。 首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在...
PHP开发中csrf攻击的简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
Web安全第三次实验(CSRF,XSS,点击劫持).rar
12-26
文件中包含myzoo,csrf.html,xss.txt,hijack.html.其中myzoo是测试网站,csrf需要在测试网站中的profile中设置超链接,xss攻击则直接可以将xss.txt内容复制到profile中,点击劫持也是需要设置超链接。
csrf-in-action:演示CSRF的示例应用
05-06
CSRF攻击通常发生在用户已经登录了某个网站,攻击者通过构造恶意请求,诱使用户在不知情的情况下执行,比如修改密码、转账等。由于用户当前浏览器已经持有该网站的有效会话(Cookie),因此恶意请求会被服务器误...
pikachu--CSRF实验演练
m0_54024658的博客
06-18 429
CSRF概述 Cross-site request forgery 简称为“CSRF”,中文名称==跨站请求伪造==在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 CSRF与XSS的区别 CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的
Pikachu靶场练习——CSRF
young的博客
09-09 2228
Pikachu靶场练习——CSRF
Pikachu之CSRF
weixin_48621644的博客
10-17 1915
小羊学安全 任重而道远~
pikachu-CSRF(跨站请求伪造)
a1245678899的博客
11-10 583
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。点击修改个人信息然后使用burpsuite抓包可以看到这个数据的传输过程是get型,数据包含在URL之中直接在URL之中构造包含自己信息的网址,伪造一下,诱导用户去点击。当链接被点击以后,可以看到信息已经被修改
十五、pikachu之CSRF
qq_55202378的博客
08-27 557
pikachu CSRF
pikachu之CSRF
qq_43665434的博客
02-08 547
pikachu之CSRF 文章目录pikachu之CSRF一、神魔是CSRF?二、地位三、场景四、比xss何如?五、如何确认存在CSRF六、靶场测试1、CSRF(get)2、CSRF(post)3、CSRF Token七、CSRF防范措施 一、神魔是CSRF? Cross-site request forgery,跨站请求伪造,攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了,所以CSRF攻击也被称为“one click”攻击。 二、地位
Pikachu漏洞靶场系列之CSRF
weixin_45868644的博客
09-11 1447
文章目录概述CSRF攻击需要条件CSRF和XSS的区别检测是否存在CSRF漏洞一、CSRF(get)二、CSRF(post)CSRF(token)防护措施 概述 CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造,在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了、所以CSRF攻击也被称为“one click”攻击。 CSRF攻击需要条件 1、目标网站没有对修改个人信息修改的请
Pikachu系列——CSRF
Zlirving_的博客
05-15 1215
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验三 —— CSRF CSRF概述 跨站请求伪造简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。 CSRF类型判断 GET: 先去掉参数尝试能否正常请求。如果可以,即存在CSRF漏洞。 POST: 如果有token等验证参数,先去掉参数尝试能否正常请求。如果可以,再去掉referer参数的内容,如果仍然可以,说
pikachu平台之csrf
qq_42728977的博客
12-16 1947
概述 参考链接 CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造,在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了,所以CSRF攻击也被称为“one click”攻击。 场景例子 lucy想要在购物网站上修改购物地址,这个操作是lucy通过浏览器向后端发送了请求。...
皮卡丘(pikachu)CSRF
weixin_44787832的博客
07-23 2781
CSRF(get) 输入账号密码登录 kobe/123456 点击修改信息 修改信息后点击submit提交按钮并抓包 抓包后将GET这条改动一下 将 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=123456&add=henan&email=111%40qq.com&submit=submit HTTP/1.1 改为 GET /pikachu/vul/csrf/
dvwa的csrf实验
05-16
DVWA是一个用于测试Web应用程序安全性的漏洞测试平台,其中包括了一些常见的Web安全漏洞实验,其中包括CSRF...通过上述步骤,可以成功地进行DVWA的CSRF攻击实验。请注意,这只是一个演示实验,不要在生产环境中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值