CSRF实例

最新推荐文章于 2023-11-10 22:37:09 发布
最新推荐文章于 2023-11-10 22:37:09 发布
阅读量374 收藏
点赞数 2
分类专栏: 网络攻防 文章标签: 漏洞环境
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43592364/article/details/89402579
版权

DVWA

首先打开DVWA的环境,此次实例是修改自己的密码,然后将别人的密码也改为自己的密码

正常登陆如下图,点击CSRF进入修改密码的部分,修改自己的密码并抓包
在这里插入图片描述本次是将默认密码password改为123,抓包
在这里插入图片描述
我们用这个包来生成一个CSRF的表单让别人去点击 (前提是别人登录状态,浏览器有cookie生成)

生成一个CSRF的表单
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
我们复制这一段html的代码,在桌面新建一个html的文件,把代码保存在里面
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
把这个文档发送给受害者,只要他在登陆状态并且点击了submit request这个按钮,那么他的密码就被成功修改为123
在这里插入图片描述

零一天地
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用 CSRFTester 进行自动化探测 CSRF 漏洞
Cwillchris的博客
07-12 1479
1、探测的目的探测的目的是:探测 web 应用程序是否具有防止 CSRF 的措施。如果 Web 应用程序的 HTTP 请求中没有对应的预防措施,那么很大程度上就确定存在 CSRF 漏洞2、自动化探测工具介绍实验环境:win7 虚拟机中步骤如下(1)启动 CSRFTester需要安装 JDK8,这个 JDK8 在前面安装 burpsuite 已经安装了。这里就不用安装了。(2)火狐浏览器设置代理(3)火狐访问DVWA,并登录,选择XSS(Store)(4)随便输入数据开启CSRF-Tester纪录切换到浏览器
CSRF跨站请求伪造实例程序
11-07
一个php做的简单的银行管理系统,利用cookie值来达到跨站伪造请求的目的,最终造成银行账户余额被修改。
CSRFTester工具.zip
04-19
CSRFtester工具使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
CSRF跨站点请求伪造 测试工具以及测试步骤
qq_30517167的博客
09-18 1618
测试工具:CSRFTester 1.0 下载链接:提取码:60my 下载成功后解压点击运行run.bat文件。 运行结果如下图所示: 命令行显示代理ip和端口:127.0.0.1:8008 (根据自己电脑显示实际情况而定) 这里以谷歌浏览器做漏洞测试 打开谷歌浏览器设置浏览器代理地址为127.0.0.1:8008 (其他浏览器代理设置请自行百度) 以上工作做好后就可以开始测试了...
Web安全—CSRF漏洞利用(pikachu)
weixin_44431280的博客
04-06 6634
Web安全—CSRF漏洞利用 前言:此篇文章主要记录pikachu靶场漏洞中三种模式的CSRF漏洞的利用,此处不对基本原理进行过多赘述,基础可参考文章:Web安全—跨站请求伪造攻击(CSRF漏洞利用场景:攻击者伪造一个正常的请求(通常是一个链接),诱导用户点击,从而在受害者不知情的情况下以受害者的身份去修改用户已经登陆的网站信息。 一:CSRF(GET)用户通过表单提交的数据显示在URL中 1,用户使用账户登录网站,本地生成cookie等身份认证信息 2,黑客登陆网站,抓取网站修改功能的数据包参数
CSRF漏洞自动化探测
一米八多的瑞兹的博客
12-22 377
1. 手动探测原理 手动探测原理在于探测web应用程序具有防止CSRF的措施。 如果Web应用程序的HTTP请求中没有对应的预防措施,那么很大程度上就确定存在CSRF漏洞。 2. 自动化探测工具介绍 CSRFTester是一款CSRF漏洞的测试工具。 CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞
信息安全技术:CSRF实例.pptx
11-01
信息安全技术基础
django 取消csrf限制的实例
09-17
主要介绍了django 取消csrf限制的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
2021-5-10CSRF漏洞实例
05-13
2021-5-10CSRF漏洞实例,对新手比较友好
(29.1)【CSRF详解】CSRF原理、利用过程、分类、举例、工具……
04-06 9455
一个细节都不不想放过
CSRF跨站请求伪造攻击(附自动化工具实战某CMS)
m0_51468027的博客
02-02 2845
一、CSRF介绍   CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像xss漏洞,但是它与xss漏洞非常不同。xss利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。与xss攻击相比,csrf攻击往往不大流行,也难以防范,所以认为比xss漏洞更具危险性 二、CSRF漏洞原理   CS
CSRF跨域攻击实例与防范
weixin_52224421的博客
01-20 469
CSRF跨域攻击实例与防范
29.CSRF及SSRF漏洞案例讲解
mingyqf的博客
12-30 2737
CSRF&SSRF】—漏洞案例讲解—day29 一、CSRF—跨站请求伪造攻击 1、解释 CSRF漏洞解释,原理 CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 XSS 利用站点内内的信任用户,盗取cookie CS
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
2301_76694151的博客
05-12 311
小明由于刚刚就登陆了Gmail,所以这个请求发送时,携带着小明的登录凭证(Cookie),Gmail的后台接收到请求,验证了确实有小明的登录凭证,于是成功给小明配置了过滤器。小明由于刚刚就登陆了Gmail,所以这个请求发送时,携带着小明的登录凭证(Cookie),Gmail的后台接收到请求,验证了确实有小明的登录凭证,于是成功给小明配置了过滤器。果然,这只是一个什么都没有的空白页面,小明失望的关闭了页面。小明仔细查了下域名的转让,对方是拥有自己的验证码的,而域名的验证码只存在于自己的邮箱里面。
TOP16之CSRF -- 小黑超细详解+案例说明<宝藏文>
G_WEB_Xie的博客
03-31 781
CSRF -- 跨站请求伪造,很好理解,就是盗用别人的身份伪造请求发送给服务器,在未授权的情况下执行权限保护之内的操作,因为请求的一切流程都是正常操作,这也是一般不会被检测到的漏洞行为。小黑子们,撸起袖子加油干!!!
CSRF(跨站请求伪造)攻击演示
最新发布
wlym123的专栏
11-10 682
CSRF(Cross-Site Request Forgery)跨站请求伪造,是一种网络安全攻击,其目标是利用被攻击者在某个网站的身份(通常是通过 cookie 认证)来伪造被攻击者的请求,以执行某些未经授权的操作。启动 java 程序 CsrfDemoApplication,该 Spring Boot 服务将在 8080 端口提供服务;通过 npm 安装 http-server,进入 malicious-web 文件夹, 通过。通过 http://localhost:8080 访问目标网站。
CSRF测试示例——CSRFTester
MavisHSB
04-08 8136
1、下载CSRFTester,并启动run.bat,终端显示代理地址:‘127.0.0.18008’2、按照上一步中的代理地址,设置浏览器代理。3、在网站中登录后,发送一个请求(添加工作经历)。4、点击Start Recording,利用CSRFTester抓取请求,并对求情参数进行修改:5、点Generate HTML生成脚本6、在浏览器不退出登录情况下,打开生成的脚本,则发现新添加一条信息,则...
CSRF实战案例
yuan_boss的博客
08-28 1209
CSRF中文名叫做跨站请求伪造,很容易知道这是一个跨站攻击的漏洞,也就是说我们可以让受害者在我们构造的恶意站点执行我们构造的恶意请求,从而请求到另一个网站,请求另一个网站的时候受害者会携带自己的cookie信息,进而借助受害者的cookie来执行我们的恶意请求。。在以下案例中,我会实现一个基本的CSRF攻击。我将会构造一个恶意的游戏界面,其中图片链接里面内嵌了我们的恶意请求,让受害者点击,点击之后将会携带受害者的cookie并且向正常站点发起请求,从而完成攻击。那么我们应该如何构造恶意请求呢?
Groovy csrf java 示例
07-14
def request = new HttpServletRequest() // 实例化 HttpServletRequest 对象,这里需要根据你的实际情况进行调整 // 生成 CSRF 令牌并存储在会话中 def csrfToken = generateCSRFToken() request.getSession()....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值