XSS+CSRF攻击

最新推荐文章于 2024-06-28 10:38:48 发布
最新推荐文章于 2024-06-28 10:38:48 发布
阅读量375 收藏 5
点赞数 9
文章标签: xss csrf 网络 服务器 前端 php html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46493912/article/details/139220278
版权

一、前言

在DVWA靶场的XSS攻击下结合CSRF攻击完成修改密码

也就是在具有XSS漏洞的情况下实施CSRF攻击

二、实验

环境配置与上一篇博客一致,有兴趣可以参考CSRF跨站请求伪造实战-CSDN博客

首先登录DVWA,打开XSS模块

name随便输入,message输入我们构造的payload

<a href="http://192.168.43.186/dvwa/vulnerabilities/csrf/?password_new=111111&password_conf=111111&Change=Change"><img src="http://192.168.43.148/lufei.jpg"></a>

这块代码由上一篇博客介绍,这里大概说明一下。

我们构造的payload是用于修改登录密码,在页面插入一张图片,诱导用户点击之后,攻击也就完成,用户的密码会修改为我们定义的密码,上面的111111

此时的前端限制输入长度,按F12修改一下

点击提交之后得到以下内容

图片可以换成具有诱导性的图片,当用户点击图片之后会跳转到页面,提示密码修改完成

实验结束,若有不准确的地方欢迎指导!

_Cooper_
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS+CSRF组合拳
weixin_50464560的博客
03-12 2340
0x00 前言 今天学习一下 XSS + CSRF 组合拳,现将笔记记录如下。 0x01 靶场环境 本机(Win):192.168.38.1 DVWA(Win):192.168.38.132 Beef(Kali):192.168.38.129 0x02 组合拳思路 第一拳:存储型 XSS + CSRF(存储型 XSS 攻击代码中加入 CSRF 代码链接) 第二拳:CSRF + SelfXSSCSRF 代码中加入 SelfXSS 代码) 0x03...
漏洞组合拳之XSS+CSRF记录
金色%夕阳的博客
08-20 595
漏洞组合拳之XSS+CSRF记录 0x00 前言 0x01 靶场环境 0x02 组合拳思路 0x03 【第一拳】存储型 XSS + CSRF 1、构造 POC 2、 开工 0x04 【第二拳】CSRF + SelfXSS 1、构造 POC 0x05 总结
学习 xss+csrf 组合拳
weixin_67259816的博客
05-28 2875
该篇文章记录了xss+csrf的组合拳,无论是存储型xss还是反射型xsscsrf结合在一块,都会有一个更强大的收获。
【实战】储存XSS+CSRFXSS绕过到蠕虫攻击
XunanSec的博客
05-23 554
0x00 存储XSS 1) 可绕过的XSS 给大家分享个漏洞案例,今天上午刚把电脑修好 某技术学院储存XSS+CSRFXSS绕过滤到蠕虫攻击) 注册处:http://xxx.edu.cn/meol/xxxx需要注册才能进入社区发表,先说下储存XSS,过滤了,发现可绕过 储存XSS:http://xxx.edu.cn/meol/xxx?genre=80&type=0 他是先过滤再输出,而不是输出时过滤,从而导致可绕过 我们发现他输入时就进行了过滤,直接替换<script>a.
xss+csrf组合拳这么玩
yggcwhat
05-28 887
xss+csrf组合拳这么玩
xss+csrf的组合拳
wo41ge的博客
12-16 3099
今天 就把之前学的东西简单的总结一下吧 【第一拳】存储型 XSS + CSRF
XSSCSRF 攻击详解
wangluoanquan111的博客
03-01 1117
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。===XSS,即 Cross Site Script,中译是跨站脚本攻击。其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。
xss+csrf项目实例
qq_64302290的博客
06-16 629
如下:我们是在一个类似文章管理系统的网站上面发现的该漏洞。我们将其运行在本地的phpstudy集成环境上面。源码地址下载链接:https://pan.baidu.com/s/1MpnSAq7a_oOcGh4XgPE-2w提取码:4444。
XSS攻击CSRF攻击
weixin_47198976的博客
08-28 380
XSS攻击CSRF攻击
跨站攻击(XSS+CSRF).docx
01-05
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
Web渗透:XSS-DOM-based XSS
WolvenSec的博客
06-21 1035
DOM-based XSS(基于DOM的跨站脚本攻击)是一种XSS攻击类型,其特点是恶意脚本通过操作文档对象模型(DOM)直接在客户端执行,而无需经过服务器的处理。这种攻击主要利用客户端JavaScript代码中的漏洞,使得攻击者能够在浏览器中注入并执行恶意代码。
5.XSS-反射型(post)利用:获取cookie
愿听风成曲
06-23 225
需要修改以下两个地址,第一个地址是将原界面的样子链接过来,让用户认为是原界面,第二个是将cookie从数据库中提取出来的程序(注意和自己的目录相对应)然后将url:www.pikachu.net/post.html发给用户访问,会直接跳转到post型链接上;将post.html文件,复制到皮卡丘的根路径下或者根下随意路径即可,并编辑文件。文件路径:\pikachu\pkxss\xcookie\post.html。在pkxss平台直接获取用户信息。用户误以为是正常网站去访问。基于IP地址配置文件。
DVWA-XSS(Stored)-beef
06-23 548
用Low Level来测试beef的使用。
XSS跨站攻击漏洞
zhuge_long的专栏
06-23 1188
xss全称为:Cross Site Scripting,指跨站攻击脚本,XSS漏洞发生在前端,攻击的是浏览器的解析引擎,XSS就是让攻击者的JavaScript代码在受害者的浏览器上执行。XSS攻击者的目的就是寻找具有XSS漏洞的网页,让受害者在不知情的情况下,在有XSS漏洞的网页上执行攻击者的JavaScript代码。XSS是提前埋伏好漏洞陷阱,等着受害者上钩。既然攻击者是执行JavaScript代码,所以攻击的语句应该能让JavaScript运行。第一种 反射型。
响应头缺省xss防御头(X-XSS-Protection、X-Content-Type-Options)
最新发布
墨痕诉清风的博客
06-28 23
Web对于 HTTP 请求的响应头缺少 X-Content-Type-Options,这意味着此网站更易遭受跨站脚本攻击XSS)。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值