复现CSRF时遇到的问题

最新推荐文章于 2023-08-30 18:40:42 发布
最新推荐文章于 2023-08-30 18:40:42 发布
阅读量2.7k 收藏
点赞数 1
分类专栏: web安全 文章标签: csrf web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51478862/article/details/121463705
版权

环境

dvwa中low水平的csrf复现,专业版火狐与谷歌

问题

修改密码,发现img标签中src获取的cookie值与浏览器获取的不同。
在网上找了半天也没解决,后来让朋友用他的浏览器访问我的dvwa,结果他的能够复现,所以不是网站的问题,那就是浏览器的问题。我用的是专业版的火狐与谷歌浏览器都不行,但他用到普通浏览器就可以了。
后来我在火狐专业版设置cookie中把严格改为标准就可以了。
image.png
但对于谷歌就不知道怎么解决了。
由这个问题可以看出来,浏览器对于cookie的严格把控也可以防止CSRF漏洞。

虚无-缥缈
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Django csrf 验证问题的实现
09-20
csrf是通过伪装来自受信任用户的请求来利用受信任的网站。这篇文章主要介绍了Django csrf 验证问题的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CSRF漏洞复现(含XSS与CSRF梦幻联动)
最新发布
weixin_73180072的博客
09-22 157
pikaqiu靶场。
CSRF漏洞复现
m0_57485346的博客
03-15 1929
CSRF与XSS的区别:CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的权限,而XSS是直接盗取到了用户的权限,然后实施破坏。发现地址直接改成了taiyuan,而我们没有对页面进行任何操作,只是把url改了一下。hack要在不知道Kevin的账号密码情况下,修改Kevin的地址信息。1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号。2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。然后我们把这条请求当中的地址(add)改成taiyuan。去短连接生成网站转成短连接。
7、csrf漏洞复现
sigali的博客
03-17 1240
7、csrf漏洞复现 csrf全名为跨站请求伪造,是一种对网站的恶意利用,虽然听起来和xss很像,但是它们俩还是有很大的区别的。xss窃取了用户的cookie身份认证信息,而csrf没有窃取登录凭证,仅仅是“冒用”。 例如: 一个有csrf漏洞的A网站,网站B是攻击者构造的一个恶意网站,当用户没有退出A网站,或者用户登陆A网站的cookie没有过期,只要在同一个浏览器中打开这个网站B,攻击者就可以利用用户的身份进行用户才能进行的操作了。 这里我们用DVWA的靶场: LOW等级 抓包后,去掉Referer字段
代码复现CSRF攻击并解决它
kobe_okok的博客
06-08 646
From 百度百科:CSRF跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。我们创建两个站点: 一个是正常的网站,没有防御CSRF攻击 另一个是黑客的网站,专门对没有CSRF的网站
解决django前后端分离csrf验证的问题
09-19
今天小编就为大家分享一篇解决django前后端分离csrf验证的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue-resource post数据碰到Django csrf问题的解决
10-15
主要介绍了vue-resource post数据碰到Django csrf问题的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CSRF(跨站请求伪造)和SSRF(服务端请求伪造)漏洞复现:风险与防护方法
weixin_43263566的博客
08-30 595
CSRF漏洞指的是攻击者利用受害者的身份,在其不知情的情况下发送恶意请求给目标网站。由于目标网站无法区分恶意请求和正常请求,因此会执行该请求。这使得攻击者能够以受害者的名义执行一些不被授权的操作,例如更改密码、发表言论、转账等。不过我这里是测试就直接在浏览器打开脚本复现成功,其他类型的攻击方式操作也是这样。SSRF漏洞指的是攻击者通过操纵目标Web应用程序中的请求来发起伪造请求。攻击者利用这种漏洞可以访问应用程序所在服务器上的本地资源,或者攻击内部网络中的其他系统,并执行恶意操作。
Exercise:1.CSRF漏洞场景复现 2.场景测试 3.CSRF与XSS 相结合
lay77的博客
08-28 597
1. CSRF 漏洞场景复现 2. CSRF 漏洞验证 3. CSRF 与XSS 相结合
csrf漏洞复现(附源码)
qq_40390383的博客
04-14 1452
csrf全称跨站请求伪造,攻击者盗用受害者用户的身份,以受害者的身份发送恶意请求 下面进行复现,(本人前端、后端小白,代码有些不规范,大佬们见谅) 这里我创建了三个文件 login.php是用户的登入页面 main.php是商品购买页面 sqlcon.php存放操作数据库的各个函数。 源码如下: 以下代码不只存在csrf漏洞,还存在SQL盲注 有兴趣的可以注一下 lo...
复现CSRF + SelfXSS
weixin_59280309的博客
08-14 172
存储型 XSS + CSRF;CSRF + SelfXSS
DVWA靶场--CSRF漏洞修改目标的密码(low)
m0_53623242的博客
02-21 5705
作业准备: 1、Jdk环境 2、BurpSuite抓包 3、搭建DVWA靶场 4、phpStudy(Apache和MySQL都已配置) 5、kali虚拟机 6、CSRF虚拟机
CSRF攻击原理及防御和相关漏洞复现
qq_43710889的博客
08-08 1354
CSRF攻击原理及防御和相关漏洞复现 CSRF(Cross-site request forgery)跨站请求伪造,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 CSRF攻击原理及过程: 过程 1.用户打开浏览器,访问受信任银行网站,输入用户名密码请求登陆网站 2.在
DVWA之CSRF漏洞复现
weixin_43263451的博客
07-19 960
CSRF(跨站请求伪造)定义跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 基本原理 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:   ...
CSRF漏洞之——漏洞复现
wsnbbz的博客
03-04 2980
介绍 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF CSRF漏洞是因为web应用程序在用户进行敏感操作,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的...
对一次csrf复现
cxk
03-22 1382
csrf跨站请求伪造   CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。   自己的简单理解,A用户登录了一个页面,没有退出,B向A发了一个页面,A进去点了某个按钮,然后在A不知情的情况添加了账号或者其他操作。   第一次csrf实战操作 发现无token验证,随用bp自带构造poc...
测试中遇到CSRF
Bul1et的博客
12-06 579
昨天一个测试人员给我说让我复现一个漏洞CSRF 我给他要测试账号他说不用,他给我说的原话是这样 "改了refere之后,系统依旧接收信息说明具备CSRF呀" 以前也没遇到过这种。他说是我就照着复现喽  前面改一下host地址为test.com可以证明存在http头攻击 这次改refere存在CSRF  ...
java csrf_Java解决CSRF问题
06-08
Java中可以通过以下方式解决CSRF问题: 1. 验证请求来源:在服务器端验证请求是否来自合法的来源。可以通过在每个表单中添加一个隐藏域,保存一个token值,然后将这个token值与session中保存的token值进行比较。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚无-缥缈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值