DVWA-CSRF漏洞

本文详细介绍了DVWA中的CSRF(跨站请求伪造)漏洞,包括漏洞简介、不同难度级别的DVWA源代码分析及利用方法。在Low难度中,通过伪造链接可直接更改密码。Medium难度下,通过构造隐藏的img标签并使用Burp Suite修改Referer实现攻击。High难度增加了token验证,而Impossible难度则需要原密码,提高了防护级别。
摘要由CSDN通过智能技术生成

参考:https://blog.csdn.net/qq_44720671/article/details/97393100

一、漏洞简介

1,CSRF:cross-site request forgery跨站请求伪造,一种常见Web攻击。

2,利用场景:攻击者伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击就完成了。

3,与XSS比较:csrf是借助用户的权限去完成,而xss是盗取用户权限去进行破坏。

二、查看不同难度的dvwa源代码

1,low难度

查看网页源代码

特点:没有隐藏的token,猜测密码检测是直接将输入的进行拼接,检验password_new与password_conf是否一致,

查看页面URL:

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值