Pikachu漏洞练习平台—CSRF

最新推荐文章于 2024-07-09 16:56:39 发布
最新推荐文章于 2024-07-09 16:56:39 发布
阅读量502 收藏 3
点赞数
分类专栏: 记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45688322/article/details/107470120
版权

CSRF

1.1 原理:

利用目标用户的合法身份,以用户的名义执行某些非法操作

1.2 Get型CSRF

在这里插入图片描述
点击提示 获取账号密码

随意登录一个账户

在这里插入图片描述
打开Bp 点击修改个人信息
在这里插入图片描述
点击提交submit
在这里插入图片描述
可以看到这就是修改账户信息的链接 ,复制出来,可以放到image等资源标签中,诱使用户点击,修改信息

当用户点击链接时,就会修改掉当前账户的信息

在这里插入图片描述

1.3 POST型CSRF

登录账户并且点击修改个人信息
在这里插入图片描述
打开Bp,点击submit提交
在这里插入图片描述
获取到地址,可以自己编写一个html文件,使用form表单提交
在这里插入图片描述
在这里插入图片描述
修改成功

1.4 Token CSRF

登录任意一个账户

点击修改个人信息,打卡Bp抓包
在这里插入图片描述
多出了一个token,我们打开源码看看token的算法是怎么样的
在这里插入图片描述
而且会替换掉原先session中的token值

所以可以有效的防止CSRF攻击

我啊zbs
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pikachu漏洞练习平台
blalaa的博客
09-04 3273
一、暴力破解 【基于表单的暴力破解】 ①在登录框随意输入账号密码,开启burp suite抓包。 ②将抓到的包,右键点击发送到intruder模块 ③打开intruder,点击positions,选择需要替换的变量,先“clear”后“add”,选择适合的攻击模式: 1)Sniper:狙击手,默认每次只能有一个变量进行攻击。 2)Battering ram:冲撞车。可选多个变量同时替换,但都只用同一个字典。 3)Ptichfork:草叉型,可选多个变量,每个变量一个字典,然后一一对应实验。 4)Clus
SQL注入进阶之1宽字节注入攻击(Pikachu漏洞练习平台)
ISNS的博客
02-29 4493
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 宽字节注入攻击可以说是SQL注入的进阶攻击方式,在我之前列出的学习计划体系中,前面的union联合查询注入攻击、布尔盲注、报错注入、时间盲注这几种常见的SQL注入方式,在我之前的博客中已经分析过了,那么今天在下面这些进阶的SQL注入方式中,要翻牌的就是宽字节注入。 原理讲解 接下来的讲解,将以问...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞
Pikachu 漏洞练习平台 --CSRF漏洞
08-17 519
1、CSRF(get) 先点击右上角的提示,看到有好几个用户呢,用vince进行登录 登录后修改个人信息 在burpsuite找到这个请求,右键send to repeater 修改页面内容点击go 刷新靶场,看到页面内容被篡改啦 如果被攻击者此时登录状态或cookie/session没有过期,则她的信息被篡改,存在csrf漏洞 2、CSRF(post) 同理,登录后修改请求,页面信息被篡改 3、CSRF token 试了半天没法篡改了,原来这个例子是告诉我们 ...
Pikachu靶场】安装部署通关详解超详细!!!(持续更新)
最新发布
weixin_54438700的博客
07-09 860
Pikachu靶场,是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。使用世界上最好的语言PHP进行开发-_-,数据库使用的是mysql,因此运行Pikachu你需要提前安装好"PHP+MYSQL+中间件(如apache,nginx等)"的基础环境。
Pikachu漏洞练习平台实验——CSRF(三)
dishan4749253的博客
09-25 4909
概述   - 攻击场景例子   - CSRF攻击需要条件   - CSRF和XSS的区别   - 如何确认一个目标站点是否有CSRF漏洞 CSRF(get) CSRF(post) CSRF(token) 防护措施 概述 CSRF 是Cross Site Request Forgery的 简称,中文...
Pikachu漏洞平台安装
weixin_45908624的博客
11-24 1007
pikachu平台安装
攻防系列——pikachu靶场通关练习
weixin_43140411的博客
10-23 1998
从来没有哪个时代的黑客像今天一样热衷于猜解密码 ---奥斯特洛夫斯基
pikachu漏洞练习平台使用笔记-暴力破解(token防爆破)
donghongzhe的博客
05-24 1269
原理 token一般用在两个方面:防止表单重复提交和csrf,我这里只说防止表单重复提交。 他的工作原理是这样的:我们访问表单页面,服务器在返回表单页面时,会生成一个token值,保存在session中,并把这个值传给表单页面,当我们输入用户名密码后,点击提交,会把用户名密码以及token一起提交,服务器会验证用户名和密码,同时会把提交过来的token值与session中的值相比,如果相同就通过验证,不同就不通过,即使用户名密码是对的也不会通过。token验证成功后,会更新一个新的token,如果进行重
pikachu——CSRF(跨站请求伪造)攻击
haoaaao的博客
01-27 368
/*** csrf攻击步骤: (1)目标用户登录login受信任网站a,并在本地生成cookie; (2)目标用户在不登出logout a的情况下,访问恶意网站b,或者恶意链接url,其目的就是想让目标用户在自己电脑上执行恶意代码。 ****/ 一、csrf(get) 有提前设置好的用户信息:lili 123456,登录后可以看到信息,现在假设lili为受害者,使用csrf攻击修改lili的个人信息。 1、法一: (1)登录lili,修改个人信息,然后burpsuite抓...
【超详细】新手学习渗透测试靶场——Pikachu的安装与使用
KKleeeaa的博客
02-03 4536
Pikachu漏洞靶场搭建教程
CSRF漏洞-pikachu平台
W小哥
04-17 378
CSRF-GET 访问目标网站如下图所示 点击右边的提示有账号密码 登录lucy账号 修改个人信息用burpsuite抓包 发现其参数直接用get提交,并且没做什么认证(即攻击者不需要任何用户的信息即可构造请求,如果防御的话我觉得应该利用cookie等认证用户的信息添加到get请求里) 用户点击该网站链接时会以用户的身份提交攻击者提前准备好的数据 此时我们推出lucy用户登录grady用户...
pikachuCSRF漏洞
miaositekali的博客
03-02 239
pikachucsrf
PikachuCSRF
weixin_48621644的博客
10-17 1978
小羊学安全 任重而道远~
pikachu漏洞练习平台实战
yellowO的博客
12-29 857
文件上传成功文件保存的路径为:{$upload['new_path']}
Pikachu漏洞练习平台做题记录+原理解析(1)暴力破解
自知.的博客
08-23 3423
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。本文为我的pikachu靶场做题记录,可供参考。文章内容为入门级,小白也学得会。
pikachu漏洞平台通关系列导览(所有关卡已完结)
箭雨镜屋
05-01 8733
~~pikachu通关系列完结撒花啦~~ pikachu总体来说不难,没啥需要绕过的,比较直白,但胜在分类比较细,关卡比较多,入门练手还挺好玩的。(其实我觉得后台代码比较简单明了也是个优点(╹ڡ╹ )) 以下文章顺序为pikachu漏洞练习平台目录顺序: 暴力破解: pikachu 暴力破解 Brute Force(皮卡丘漏洞平台通关系列)_箭雨镜屋-CSDN博客 Cross-Site Scripting: pikachu XSS Cross-Site Scripting(皮卡丘漏洞平台通关系列
Pikachu漏洞练习平台 之 暴力破解
m0_65712192的博客
10-30 715
Pikachu漏洞练习平台 之 暴力破解
pikachu漏洞练习
10-20
此外,Pikachu漏洞练习环境可以直接放在apache中的www目录下即可,如果遇到不会安装的问题,可以向相关人员咨询。在Pikachu平台中,我们可以通过添加密码字典的方式进行暴力破解,但是如果密码字典中没有真正的密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值