CSRF漏洞利用

已于 2022-07-05 17:46:33 修改
阅读量286 收藏
点赞数
分类专栏: web安全 文章标签: csrf 安全 web安全
于 2022-07-05 17:43:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44812718/article/details/125624448
版权

CSRF:跨站请求伪造
在已登录的web网站上执行非本意的操作
原因:cookie在浏览器中不会过期
根据请求类型分为 get类型csrf post类型csrf(利用html构造请求)

DVWA:
Low级别:修改密码,在浏览器链接中发现是get方式传参(三种等级均为get类型),通过构造一个html网页,将修改密码的链接放入其中,用户点击密码修改成功
Medium级别:因为是第三方跳转访问,多了referer验证
bp抓包,手动加字段:Referer: http://dvwa.com/vulnerabilities/csrf/
Referer表示来源,比如在google中打开baidu.com那么这个网页的header中就包含Referer:www.google.com 第一个字母是大写
利用Referer规定来源(一个请求是从哪个链接过来的)可以防止恶意访问
High级别:
修改密码后发现链接后面多了串token

这里结合存储型xss(永久性嵌入代码)解决
首先在xss漏洞利用处插入xss漏洞利用脚本,,目的是获取弹出来的token,之后复制token,加到low级别所创建的html网页链接的后面,就可以进行密码修改了

科研小fw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全—CSRF漏洞利用(pikachu)
weixin_44431280的博客
04-06 6637
Web安全—CSRF漏洞利用 前言:此篇文章主要记录pikachu靶场漏洞中三种模式的CSRF漏洞利用,此处不对基本原理进行过多赘述,基础可参考文章:Web安全—跨站请求伪造攻击(CSRF漏洞利用场景:攻击者伪造一个正常的请求(通常是一个链接),诱导用户点击,从而在受害者不知情的情况下以受害者的身份去修改用户已经登陆的网站信息。 一:CSRF(GET)用户通过表单提交的数据显示在URL中 1,用户使用账户登录网站,本地生成cookie等身份认证信息 2,黑客登陆网站,抓取网站修改功能的数据包参数
CSRF漏洞利用介绍
热门推荐
星落的博客
06-02 1万+
CSRF漏洞介绍 CSRF:跨站请求伪造,也称为One Click Attack 缩写为CSRF CSRF漏洞代码分析 <?php //会话验证 $user =$_GET["user"]; $money=$_GET["monkey"]; //转账操作 ?> http://1270.0.1/pay.php?user=heike&monkey=10000 我们把这个链接发给受害人,受害人点击后,就会把受害人的钱发给我们。 CSRF自动化探测 ...
CSRF漏洞利用与防御
永远是少年
12-05 677
今天继续给大家介绍渗透测试相关知识,本文主要内容是CSRF漏洞利用与防御。 一、CSRF漏洞利用 (一)GET型CSRF漏洞攻击 (二)POST型CSRF漏洞攻击 二、CSRF漏洞防御
csrf漏洞利用
weixin_34406086的博客
03-01 150
low csrf(cross-site-request forgery),跨站请求伪造。 测试网站 --http://localhost/vulnerability/csrf 修改密码,点击change,网页url中暴露出要修改的密码。 漏洞利用,构造链接 当受害者点击这个页面时,会发现这是个错误的界面,但其实已经收到了csrf的攻击。 当他重新登录时会发现用自己修改的...
CSRF漏洞利用工具 -- CSRFTester
weixin_41489908的博客
01-03 1944
烦恼大多来源于不够狠心,你处处顾忌别人,可谁有真正在意过你,其实,就是好的不够纯粹,坏的不够彻底,所以你才这么痛苦。。。 今天给大家介绍一款xss漏洞利用工具:CSRFTester 一、环境:win7 二、用法 1、设置浏览器代理服务器:127.0.0.1:8008 2、运行软件,点击start 3、在页面输入要提交的数值,点击change 4、查看CSRFTester 5、修改提交的数据...
CSRF漏洞利用方法-01
09-15
CSRF漏洞利用方法-01
第二节 无防护的CSRF漏洞利用-01
09-15
第二节 无防护的CSRF漏洞利用-01
基础漏洞csrf挖掘实战
最新发布
10-07
当我们可以使目标对象浏览器发送HTTP请求到别的Web 网站时,就会发生跨站请求伪造(CSRF)攻击。该Web网站会执行一些操作,使得请求看起来是有效的,...简而言之csrf攻击就是利用了网站用于请求进行身份认证的进程的缺陷。
CSRFTester:一款CSRF漏洞的安全测试工具
02-26
CSRFTester:一款CSRF漏洞的安全测试工具CSRFTester是一款CSRF漏洞的...一个简单的CSRF漏洞利用示例就是网站管理员在点击了某个外部连接的时候,在不知情的情况下在自己的网站中增加了一个不法者设置的账户。CSRFTest
CSRF漏洞原理说明与利用方法
liu0yun的博客
06-20 1523
一 、什么是CSRF Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。 二、CSRF...
漏洞复现篇——CSRF漏洞利用
爱国小白帽
02-25 9929
CSRF漏洞原理 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击...
CSRF漏洞
qq_39416206的博客
03-14 778
知识点: CSRF原理: CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。 这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 其实可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事
Web安全 CSRF漏洞的 测试和利用.(修改 管理员账号密码.)
网络安全领域___专研者.
02-18 4283
CSRF漏洞的 概括: CSRF(跨站请求伪造)漏洞的原理:攻击者是通过用户浏览了攻击者构造的链接,从而达成一个攻击的目的。主要的作用是:浏览器的安全策略是允许页面发送到任何地址的请求,攻击者可以控制页面的内容来控制浏览器 发送攻击者精心构造的请求.
【安全】P 5-6 GET型CSRF漏洞利用方法
Z_David_Z的博客
02-23 1947
目录0X01 链接利用0X02 iframe利用0X03 img标签利用0X04 CSS-backgroud利用 0X01 链接利用 在html中,a标签代表链接,可以将当前的”焦点” 指引到其他位置。 移动的“焦点”需要发送对应的请求到链接指向的地址,然后返回响应。 <a href = “请求地址,会被http 请求到的位置,可以携带GET型参数”> 内容 </a> <a href = “http://127.0.0.1/csrf_test/get_csrf/new_user
第五章-CSRF漏洞
guoyuxin3的博客
11-03 690
第五章-CSRF漏洞 第一节 CSRF原理介绍 1.1 CSRF漏洞定义 ​ CSRF(Cross-site request forery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF。 XSS与CSRF区别: 1、XSS利用站点内的信任用户,盗取Cookie; 2、CSRF通过伪装成受信任用户请求受信任的网站。 1.2 ...
CSRF漏洞危害,防御及其dvwa环境下的利用
sun_k的博客
08-08 4601
1.csrf(用户请求伪造) 1.1原理:(攻击者知道重要操作的所有参数)当A用户使用浏览器访问一个带有csrf漏洞的网站时,并且产生了cookie值存储在浏览器中,在用户A不退出网站的前提下,这时候访问用户B(攻击者)构造的的恶意链接,使其服务器以为是用户A的合理请求以达到攻击者想要的请求。 1.2危害:以受害者名义发送邮件,发消息,盗取受害者的账号,甚至购买商品,虚拟货币转账,修改受害者的网络...
CSRF漏洞详解
Jeromeyoung
03-02 5128
CSRF漏洞(Cross-site request forgery)!!! 同XSS一样,但很多时候很多人经常把XSS与CSRF漏洞混淆,他们之间有着本质的不同,就从信任的角度来区分: XSS:利用用户对站点的信任 CSRF利用站点对已经身份认证的信任 实际上CSRF漏洞主要结合社会工程发起攻击。 漏洞利用条件: 1、被害用户已经完成身份认证 2、新请求的提交不需要重新身份认证...
csrf漏洞利用原理
09-26
CSRF漏洞利用原理是攻击者利用受信任用户的身份,通过伪装成受信任的用户发送恶意请求来攻击受信任的网站。攻击者会诱使受害者访问包含恶意代码的页面,当受害者在登录状态下访问攻击者控制的页面时,恶意代码会自动触发发送恶意请求给受信任的网站,从而执行攻击者所期望的操作。 为了利用CSRF漏洞,攻击者需要满足以下条件: 1. 受信任的用户必须登录受信任的网站,并且网站在用户的浏览器中保持了登录状态。 2. 攻击者能够制作一个恶意页面,诱使受信任的用户访问。 攻击的具体流程如下: 1. 攻击者准备一个包含恶意代码的网页,并诱使受信任的用户访问该页面。 2. 受信任的用户在登录状态下访问恶意页面。 3. 恶意页面中的恶意代码会自动触发发送恶意请求给受信任的网站,这些请求会携带受信任用户的身份认证信息。 4. 受信任的网站接收到恶意请求后,会认为是受信任用户发送的请求,并执行相应的操作。 为了防止CSRF漏洞利用,可以采取以下措施: 1. 在敏感操作中使用随机生成的验证码或者Token,以确保请求是由合法用户发送的。 2. 针对敏感操作,检查请求的Referer头部信息,确保请求来自合法的源。 3. 实施严格的访问控制策略,限制用户只能执行其权限范围内的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值