CSRF (跨域请求伪造)的学习
一、csrf介绍
。
。
。
二、靶场实战
(一)、DVWA靶场的跨域伪造get请求
1、在配置有代理的浏览器中打开DVWA靶场的CSRF模块,开启代理,打开burp工具抓包,尝试修改密码。
2、从浏览器地址中可以推测出修改密码的操作为get请求。开始拟定恶意网站
3、假设DVWA用户在同一个浏览器新页面中打开了包含CSRF漏洞的恶意网站,同时点击了诱导跳转链接,DVWA用户的密码有可能会被伪造的get请求更改。
4、点击诱导链接
5、验证结果
(二)、pikachu靶场利用burp工具伪造post请求
1、浏览器中打开pikachu靶场的CSRF(post)模块
2、登陆后尝试修改个人信息
3、burp抓包
4、利用burp工具生成csrf恶意请求代码,并生成浏览器链接
鼠标右键选中下图中的2