pikachu通关教程(CSRF)
CSRF(get)CSRF(post)CSRF TokenCSRF(get)登录vince的账号修改手机号抓包看到是个get请求打开一个新网页,利用上面的参数,构造一个url,这里我把手机号改为120(这里是模拟钓鱼网站跳转到恶意的url)手机号修改成功CSRF(post)登录vince账号,尝试修改信息,抓包,发现是post请求这下就不能直接用url跳转进行CSRF攻击了,得伪造一个表单页面,让用户去访问。表单代码如下js代码意思是当页面加载完毕,自动点击提交按钮,.
复制链接