利用burp suite进行CSRF重放攻击

最新推荐文章于 2024-06-19 17:20:57 发布
最新推荐文章于 2024-06-19 17:20:57 发布
阅读量4.1k 收藏 17
点赞数 5
分类专栏: 网络安全 实战篇 文章标签: CSRF Burp Suite DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vaeloverforever/article/details/85040775
版权
本文详细介绍了如何在Windows XP上安装Damn Vulnerable Web Application (DVWA)来模拟Web漏洞,然后利用Kali Linux上的Burp Suite进行CSRF重放攻击。通过分析HTTP请求,构造URL或HTML表单,诱使已登录用户点击,实现密码修改。最后,文章还展示了在杭州电子科技大学的Online Judge网站上进行类似攻击的实战步骤。
摘要由CSDN通过智能技术生成

在windows xp系统中配置Damn Vulnerable Web Application (DVWA),借此安装一个web服务器,这个应用程序有若干基于web的漏洞,比如跨站脚本 (XSS), SQL注入, CSRF,命令注入等。

安装步骤

Step 1: 下载并安装XAMPP

Step 2: 打开XAMPP Control Panel,开启Apache和MySQL服务

点击”Start”按钮,打开服务

 

Step 3: 查看Windows XP系统主机的ip地址,以便在Kali linux系统上登录到该Web服务器上。

可以看到Windows XP系统的主机的ip地址为192.168.43.56

 

Step 4: 在另一个主机(kali linux系统)上登录到该服务器上:打开浏览器,输入http://192.168.43.56/dvwa/login.php,回车后可以以下登录界面:

 

Step 5: 采用DVWA默认的账号密码进(admin/password)行登录,登录进去:

 

Step 6: 点击“CSRF”功能模块,会弹出一个修改密码的页面:

 

下面在kali linux中使用Burp Suite,分析刚刚那个修改密码界面中修改密码的Http请求包,生成一个修改密码的URL,然后将这个URL伪装成html文件,进行CSRF重放攻击。

Step 1: 配置网络代理:

    ①  配置Burp Suite端口监听

打开Burp Suite,选择”Proxy”选项卡,然后选择”Options”选项卡,在”Proxy Listeners(代理监听)”模块中可以看到

最低0.47元/天 解锁文章
vaeloverforever
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
burpsuite csrf攻击_CSRF攻击的BurpSuite实战
weixin_42499363的博客
01-11 894
今天做的是CSRF越权攻击,原理是通过在自己网站或者目标网站,通过模拟发包,替客户端发送请求。环境配置考虑其危害性,虽然不是很大,但是考虑到安全问题,所以本次演示需自己搭建实验环境,主要内容是用PHPstudy在本地搭建一个本地网站。下载并安装PHPstudy 寻找CSRF漏洞测试网站域名www.incake.net还是老步骤,注册,点击个人中心。然后进入“发票管理”页面: 此时,发票信息页面内容...
使用burpsuite进行重放攻击
weixin_38169562的博客
11-04 3378
原创博客,转载请注出处! 我的公众号,正在建设中,欢迎关注: 1.安装好burpsuite后打开程序,切换至proxy->intercipt,因为是重放攻击不用拦截数据包所以关闭intercept选项 2.配置IE浏览器。打开internet选项->连接->局域网设置 配置代理服务器:勾选为LAN使用代理服务器 地址填写:127.0.0.1 ...
burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
baimao__Ch的博客
06-19 993
一、跨站点请求伪造(CSRF)1、简述:2、影响:3、原理:4、构造CSRF攻击实验1:无防御的CSRF漏洞5、利用CSRF6、针对CSRF的常见防御措施二、绕过CSRF令牌验证1、CSRF令牌2、CSRF令牌的验证取决于请求方法实验2:令牌验证取决于请求方法的CSRF3、CSRF令牌的验证取决于令牌是否存在实验3:CSRF,其中令牌验证取决于令牌是否存在4、CSRF令牌未绑定到用户会话实验4:令牌未绑定到用户会话的CSRF5、CSRF令牌绑定到非会话Cookie。
burpsuite csrf攻击_【技术分享】使用Burp的intruder功能测试有csrf保护的应用程序
weixin_32597009的博客
12-28 500
作者:王松_Striker& Jess_喵预估稿费:170RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言很多Web应用会有防止跨站请求伪造的策略,比如通过request请求传一个当前页面有效或者当前会话有效的参数(如果他们没有,那就很值得研究)。这些参数用来证明这个请求是从预定用户发出的,而不是攻击者那里。这些参数,用来防止用户因为被...
使用BurpSuite宏获取CSRF-TOKEN
蚁景网安学院
09-18 543
0X01 前言在WEB渗透中经常可以看到页面存在一次性token校验的情况,即请求包中包含token,而token值需通过其它页面获取,导致burpsuite抓包后无法重放。除了暴力破解...
Burpsuite1.7使用指南&渗透测试方法大全
司小幽
06-05 3717
测前准备工作 1)谷歌浏览器:设置——>高级——>打开代理设置——>局域网设置——>使用代理服务器——>确定——>确定 2)BurpSuite:Intercept is on(开始监听)——>监听到内容——>Ctrl+R(或者右键Send to Repeter)——>Repeater——>进行篡改+测试(不想监听了或者想开始下一次监听,则将Intercept is改成off,监听会影响网页的正常浏览请注意)——>Go 1.越
BurpSuite基础
qq_45455136的博客
04-02 2730
BurpSuite基础 BurpSuite基本介绍 BurpSuite模块详解 Dashboard仪表盘 Target目标 Proxy代理 BurpSuite拦截HTTPS数据 BurpSuite拦截手机App数据 Intruder渗透 Repeater重放 Sequencer序列器 Decoder解码器 Compa
渗透测试工具Burpsuite
seanyang_的博客
05-29 1622
学习文档Burp Suite是一款流行的集成式Web应用程序安全测试工具套件,广泛应用于渗透测试、安全审计、黑盒测试和漏洞研究等Web安全领域。它由PortSwigger公司开发,提供可视化界面和扩展机制,支持各种安全测试,可通过代理截获HTTP和HTTPS请求,观察请求和响应,对请求进行修改和重发,协助发现和验证Web应用程序的各种漏洞,如跨站点脚本、SQL注入、文件包含等。Burp Suite包含了多个工具,如代理、重放器、爬虫、扫描器和拦截器等。
Chrome证书导入+BurpSuite爬取https示例
csdnhnma的博客
03-10 1416
目录 前言 一、前置条件 二、操作步骤 1.引入库 2.读入数据 总结 前言 用BurpSuite、Chrome浏览器执行网站安全扫描 一、前置条件 已安装好BurpSuite、下载安装好Chrome、待测https网站 二、操作步骤 1.Chrome浏览器代理设置、BurpSuite证书导出 宿主机-我的电脑-Internet选项 连接-局域网设置 填写BurpSuite 所在虚拟机IP、端口 BurpSuite证书导出: 方式一:...
一些相见恨晚的BurpSuite插件推荐
weixin_50464560的博客
08-15 2219
原地址:https://www.secpulse.com/archives/124527.html BurpSuite 是我心中最强大的Web渗透工具,没有之一!它也是日常中用得最多的工具,它有一些强大的插件可以帮忙我们减少大量的工作量以及更好地挖掘漏洞,今天分享下我常用的一些 burp 插件。 Autorize —— 强大的越权自动化测试工具 如果你在测试越权的时候,还是手动把URL复制到另一个浏览器的低权限账号中来打开,你就out了! Autorize 是一个测试权限问题的插件,可以在
BurpDVWA重放爆破攻击文章的配套资源
05-26
在IT安全领域,尤其是Web应用安全测试中,Burp Suite是一款强大的工具,它被广泛用于进行漏洞检测和攻击模拟。本篇文章的配套资源是针对DVWA(Damn Vulnerable Web Application)进行重放爆破攻击的一个实践教程。...
burpsuite使用技巧.docx
06-30
解决这个问题的方法是使用 BurpSuite 的 intruder 功能,结合持续重放技巧,使用单台机器就可以造成 DOS 攻击。 0×04 BurpSuite 上传/直接 POST 文件技巧 BurpSuite 也可以用来上传文件,解决这个问题的方法是...
Burpsuite+1.7.26+无限制版
02-14
3. Intruder模块:Intruder是Burp Suite的强力攻击工具,支持多种攻击模式,如字典攻击、多变量攻击等,用于测试输入参数对应用程序的影响,发现漏洞。 4. Spider爬虫:自动遍历网站的链接,构建网站地图,帮助用户...
BurpSuite手册-045-Gererate CSRF PoC.pdf
12-28
Burp Suite 是一款广泛使用的网络...总之,Burp Suite的这些功能为安全测试人员提供了全面的工具集,用于发现、理解和利用Web应用的潜在安全漏洞,特别是CSRF PoC Generator,使得对CSRF漏洞的验证变得更为便捷和直观。
新手福利 _ Burpsuite你可能不知道的技巧.pdf
01-06
利用Burp Suite的Intruder功能,可以在不使用其他工具或编写脚本的情况下轻松模拟小型DOS攻击。 **步骤**: 1. **配置Intruder**:选择Intruder模块,按需配置参数。 2. **调整线程数**:将线程数调整到较高值,如...
FLY(数据迁移工具) 官方部署操作手册4.9 2022.05月版本
08-05
https://cdn.avepoint.com/pdfs/ape/FLY_Installation_Guide_zh-cn_v
[毕业设计]Java多媒体租赁店管理系统设计与实现(源代码+论文).zip
08-05
[毕业设计]Java多媒体租赁店管理系统设计与实现(源代码+论文)
[java毕业作品]VB.NET+Access电表数据可视化分析系统(源代码+论文)
最新发布
08-05
[java毕业作品]VB.NET+Access电表数据可视化分析系统(源代码+论文)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值