CSRF漏洞
跨站请求伪造漏洞
已经经过站点身份认证
已经经过站点身份认证
实践
这是更改密码的包我们要以下这一段代码
netstat -pantu | grep :80
看80端口是否被占用
编辑一个网页
构造一个社工页面 让受害者点击页面
以上这是刚才修改密码的包的头
下面是伪造页面
这是POST方法
这是POST方法
先审查元素找到表单
然后这个方法太老了
我们用burp新方法
要pro才有这难受吧
Middle CSRF
是从这个页面跳转到上面的
以下是源码
refer来源是我本机就同意你修改 不是就不同意
在refer里面加1227.0..0.1
他的判断应该是只要refer里面含有127.0.0.1就会被修改