CSRF原理、测试方法(续)

最新推荐文章于 2024-07-02 09:15:11 发布
最新推荐文章于 2024-07-02 09:15:11 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: web安全 文章标签: web 安全 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u03024218/article/details/17027427
版权

刚才拿公司内网验证了下,写了个简单的测试页面

<html>
<body>
<p>看看考勤时间</p>
<form name="transfer"  method="post" action="http://172.16.1.3/newiweb/kqgl/dealKqgl.do?action=WorkTimeInto">
  <p>考勤ID: <input type="text" name="kqdjId"  value=""/></p>
  <p>日期: <input type="text" name="date"  value="2013-11-29"/></p>
  <p>textfield: <input type="text" name="textfield"  value="E6%98%9F%E6%9C%9F%E4%BA%94"/></p>
  <p>上班时间时: <input type="text" name="sbsj_hour" value="10"/></p>
  <p>上班时间分: <input type="text" name="sbsj_min" value="30"/></p>
  <p>下班时间时: <input type="text" name="xbsj_hour" value="18"/></p>
  <p>下班时间分: <input type="text" name="xbsj_min" value="30"/></p>
  <p>是否今日: <input type="text" name="istoday" value="0"/></p>
  <input type="submit" value="提交" />
</form>
</body>
</html>

然后抓了下请求

模拟页面请求内容:

POST /newiweb/kqgl/dealKqgl.do?action=WorkTimeInto HTTP/1.1
Host: 172.16.1.3
Proxy-Connection: keep-alive
Content-Length: 75
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://172.20.52.14:8081
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1664.3 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://172.20.52.14:8081/post.html
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: JSESSIONID=A56BDC4BFC98F05238098D1F01B26821; 1=1

date=2013-11-29&sbsj_hour=09&sbsj_min=30&xbsj_hour=18&xbsj_min=30&istoday=0

正常提交请求内容 

POST /newiweb/kqgl/dealKqgl.do?action=WorkTimeInto HTTP/1.1
Host: 172.16.1.3
Proxy-Connection: keep-alive
Content-Length: 154
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://172.16.1.3
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1664.3 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://172.16.1.3/newiweb/kqgl/dealKqgl.do?action=KQDJDatechange&&date=2013-11-29
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: JSESSIONID=A56BDC4BFC98F05238098D1F01B26821; 1=1

kqdjId=1020031&date=2013-11-29&textfield=%E6%98%9F%E6%9C%9F%E4%BA%94&sbsj_hour=09&sbsj_min=00&xbsj_hour=18&xbsj_min=00&istoday=0&button=%E6%8F%90%E4%BA%A4

其中post内容还没修改完全。


很明显这样模拟了一次csrf,也会提交cookies,但是referer不同,一个是来自于我自己搭建的服务器,一个是来自于提交页面。

如果用脚本模拟的话,还需要搭上cookies才可以。

八十三
关注
专栏目录
CSRF漏洞:攻击原理、检测方法和防范措施
MachinegunJoe777的博客
09-20 128
CSRF漏洞是一种常见的网络安全威胁,但通过采取适当的防范措施,开发人员可以有效地保护他们的应用程序免受这种攻击的影响。渗透测试CSRF漏洞是一种重要的安全实践,帮助发现并解决潜在的风险。通过理解CSRF攻击的原理和防范措施,您可以更好地保护您的应用程序和用户的安全
CSRF检测的两种方法
Later_future的博客
05-17 9666
CSRF检测的两种方法 方法1:CSRFTester-1.0 使用工具注意事项: run.bat中jdk的目录按当前电脑路径自行更改点击run.bat才可使用 关于浏览器进行代理问题须是HTTP的代理,在CSRFTester中才接收的到 功能略显不足,在部分测试页面中抓取的表单不能修改参数 这里使用metinfo5.3.1成功进行了工具的使用研究 1.登录metinfo5.3.1的后台创建test用户并使CSRFTester进行监听 2.停止监听,找到对应的请求进行参数修改这里创建了一个fu
CSRF的检测与防御笔记
Yisitelz的博客
08-05 515
CSRF的检测,常用的有手动检测和半自动检测。CSRF的防御包括二次确认:验证码、再次询问;Referer Check;Anti CSRF Token。防御主要是依靠Anti CSRF Token
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2861
发布时间:2012年08月28日 分享 推荐打印收藏 CSRFWeb应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
渗透测试基础知识普及之CSRF
Zhongdongding的博客
04-21 710
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者通过伪造用户的请求,来执行一些非法操作,例如修改账户信息、发表评论、转账等。在进行安全渗透测试时,测试人员需要对应用程序进行CSRF测试,以发现和修复潜在的漏洞。测试人员可以使用Burp Suite等工具,来修改请求头中的CSRF Token,以绕过防御机制。同时,也需要定期进行安全渗透测试,以发现和修复潜在的漏洞。总之,进行CSRF测试需要测试人员具备一定的技能和经验,以发现和修复潜在的漏洞。
基于JavaScript实现前端文件的断点
10-21
1. 断点原理:断点传是一种在网络传输过程中,当上传中断后,能够从中断点开始继上传的技术。这一技术的核心在于将大文件进行分割,然后分段上传。在断开连接后,只需要重新上传未完成的分段,而无需从头...
软件测试工程师面试题-功能测试(测试理论)
清微的博客
05-30 9869
软件测试理论和常识
软件测试知识体系图谱
weixin_50552058的博客
07-07 4919
软件测试基础图谱
2万字软件测试面试题干货带答案,反手我就一个收藏
m0_57290404的博客
06-14 1669
需求分析、编写测试用例、评审测试用例、搭建环境、等待程序开发包、部署程序开发包、冒烟测试、执行具体的测试用例细节、Bug 跟踪处理回归测试、N 轮之后满足需求,测试结束第一类标准:测试超过了预定时间,则停止测试。第二类标准:执行了所有的测试用例,但并没有发现故障,则停止测试。第三类标准:使用特定的测试用例设计方案作为判断测试停止的基础第四类标准:正面指出停止测试的具体要求,即停止测试的标准可定义为查出某一预订数目的故障。第五类标准:根据单位时间内查出故障的数量决定是否停止测试1) 应当把“尽早地和不断地进行
WAF中的会话管理与防御跨站请求伪造(CSRF)攻击
WAF是一种特殊的防火墙设备,专门设计用于保护Web应用程序免受各种网络攻击,包括跨站脚本(XSS)、SQL注入、跨站请求伪造(CSRF)等。本文将着重介绍WAF中的会话管理与防御CSRF攻击的相关内容。 **WAF的概念和作用...
【网络安全CSRF漏洞:攻击原理、检测方法和防范措施
yyyyyybw的博客
09-27 870
CSRF漏洞是一种常见的网络安全威胁,但通过采取适当的防范措施,开发人员可以有效地保护他们的应用程序免受这种攻击的影响。渗透测试CSRF漏洞是一种重要的安全实践,帮助发现并解决潜在的风险。通过理解CSRF攻击的原理和防范措施,您可以更好地保护您的应用程序和用户的安全。如果你也想学网络安全渗透测试技术,你可以领取下面这套入门到进阶提升视频教程+配套笔记资料学习,希望可以帮到你!网络安全(黑客)自学笔记+学习路线+配套视频教程(超详细)t=N7T8。
详解入门安全测试最难懂的概念 —— CSRF
liwenxiang629的博客
12-19 735
对于刚刚入门安全的同学来说,csrf是最难理解的概念之一,本文会用最简单的方式对csrf进行讲解,包括csrf的定义,csrf典型的攻击流程以及如何对其进行防范,希望本文能够帮到大家!
CSRF漏洞
最新发布
weixin_58052886的博客
07-02 1190
当用户已经登录了一些网站的同时,又点击一个带有CSRF漏洞的链接时,黑客可以使用用户的身份进行一些操作。基于pikachu进行CSRF请求的攻击实验,实验达到目的是修改用户的个人信息:1、首先搭建pikachu的靶场,然后进入CSRF漏洞测试页面,进入发现需要用户名和密码,点击提示便可看到封路的账号密码:2、随便登录一个账户,便发现登录成功。、此时我们构造一个CSRF恶意网站,然后将其投放到目标服务器上,构造攻击页面有两种方式,分别是以及通过。
CSRF攻击分析】
qq_55213436的博客
06-09 2469
目录一、什么是CSRF漏洞二、CSRF漏洞的原理和利用过程 三、CSRF漏洞的检测方法四、攻击利用姿势五、防护手段 CSRF即跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,可以这样来理解: 你登录某个网站,攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 一个经典的cs
[Web安全-CSRF漏洞]
m0_60571990的博客
02-24 375
[Web安全-CSRF漏洞]
XSS跨站漏洞修复方案 彻底防止CSRF攻击
网站安全专家
09-06 1458
XSS跨站以及CSRF攻击,在目前的渗透测试,以及网站漏洞检测中 ,经常的被爆出有高危漏洞,我们SINE安全公司在对客户网站进行渗透测试时,也常有的发现客户网站以及APP存在以上的漏洞,其实CSRF以及XSS跨站很容易被发现以及利用,在收集客户网站域名,以及其他信息的时候,大体的注意一些请求操作,前端输入,get,post请求中,可否插入csrf代码,以及XSS代码。 很多客户的网站都有做一...
WEB安全攻防技术精讲视频教程(全漏洞原理+攻击手段+测试方法+预防措施)
01-17
根据机构调研,目前安全问题80%都发生在WEB安全层面上,但是往往企业中只有20%的防护成本运用到web安全上。本课程中,从web安全漏洞原理、攻击手段、测试方法、预防措施四个方面全面剖析WEB安全的点点滴滴,针对开发人员、测试人员、运维人员、网络工程师都能够起到一定的指导意义。
docker login harbor出现的报错Error response from daemon: Get https://172.16.1.99/v1/users/: dial tcp 172.
热门推荐
隔壁老瓦的专栏
01-03 2万+
  出现的问题   [root@master01 ~]# docker login 172.16.1.99 Username: admin Password: Error response from daemon: Get https://172.16.1.99/v1/users/: dial tcp 172.16.1.99:44...
CSRF手工测试方法
JackLiu16的博客
03-05 3670
导读关键词:token、referer和验证码CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞,也是一大刷分利器。 有关CSRF的具体利用,CEO早在 08年就给我们详细介绍了,大家可以去膜拜下: 文章链...
后台管理系统CSRF浏览器测试方法
05-19
要测试后台管理系统中是否存在CSRF漏洞,可以使用以下方法: 1. 打开浏览器的开发者工具(F12),进入Network(网络)选项卡。 2. 登录后台管理系统,并在浏览器中保持登录状态。 3. 手动构造一个POST请求,其中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值