我们简单谈一谈CSRF与XSS的区别:
CSRF (cross site request forgery)跨站请求伪造。CSRF是用户在不知情的情况下提交请求,而XSS是用户自己点击链接来访问网页。
整个攻击过程:
用户浏览并登录受信任网站A(dvwa),登录成功以后网站A会返回浏览器的信息中带有已登录的cookie,cookie信息会在浏览器端保存一定时间(根据浏览器设置而定),在用户没有退出网站A的情况下访问恶意站点B(这里在win2003制作一个危险网站),该危险网站B向站点A发出请求,而请求会带上浏览器所保存的站点A的cookie,A会根据所带的cookie,以为是用户访问,故通过用户的请求。
环境准备:kali (user) 192.168.1.149
Window 7 (受信任网站)搭建dvwa 192.168.1.128
Win 2003 (充当危险网站) 192.168.1.64
security level: low
- 在kali上登录dvwa,修改密码,获取到修改密码的url
http://192.168.1.128/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#
http://192.168.1.128/dvw