Pikachu之CSRF

最新推荐文章于 2023-08-27 10:07:47 发布
最新推荐文章于 2023-08-27 10:07:47 发布
阅读量1.8k 收藏 10
点赞数 5
文章标签: csrf 服务器 web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48621644/article/details/127371353
版权

Ps:火狐浏览器、phpstudy、pikachu、burpsuite

CSRF跨站请求伪造

目录

一、CSRF(get)

二、CSRF(post)

三、CSRF Token

让我们一起来看一下什么是csrf叭

见下图

了解了什么是csrf,那就让我们来开始今天的实验叭

一、CSRF(get)

哎嘿,又是一个登录框,点击提示,给出好几个账号密码,那我们就用他们登录试试叭

我们使用kobe登录进来后是一个个人信息界面

点击修改个人信息,我们把住址改为shanxi

提交并使用bp抓包,我们可以看到是get请求

我们将sex改为girl,然后发送

在看kobe个人信息界面我们会发现性别改为了girl,到此实验结束

二、CSRF(post)

这次我们使用lili登录进去后依旧是个人信息界面

我们点击修改个人信息,将手机改为123456789

提交后使用bp抓包,我们发现这次是post请求

我们在数据包中将地址改为tianjin,china,然后将数据包重发

在个人信息界面中我们可以看到,住址也随之改变,此次实验到此结束

三、CSRF Token

 

我们依旧是先登录进去,此次我们使用vince的号,嘿嘿嘿

登录后也依旧是个人信息界面

点击修改信息,将性别改为girl

提交后使用bp抓包,我们发现有token验证,返回包里也有token

那我们可以发现,用一次token之后就会失效,返回包里含有下一次的token值,我们可以利用这一点来绕过

将数据包发送到重发器,将返回包里的token值复制过来,然后将地址改为tianjin,发送数据包后在返回包里进行渲染,我们可以看到,已成功修改

在浏览器中刷新界面,也可以看到地址已修改成功,此次实验结束

CSRF的实验到此就告一段落啦

我们下一篇见呀

我们一起加油哦💪

小羊学安全
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
DVMA-渗透测试漏洞练习平台
12-02
DVMA-渗透测试漏洞练习平台, 其中内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境
Pikachu漏洞靶场系列之CSRF
weixin_45868644的博客
09-11 1389
文章目录概述CSRF攻击需要条件CSRF和XSS的区别检测是否存在CSRF漏洞一、CSRF(get)二、CSRF(post)CSRF(token)防护措施 概述 CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造,在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了、所以CSRF攻击也被称为“one click”攻击。 CSRF攻击需要条件 1、目标网站没有对修改个人信息修改的请
PIKACHU--CSRF
鲨鱼辣椒的博客
05-12 344
CSRF概述 CSRF(Cross-site request forgery,跨站情切伪造)由于在csrf的攻击场景中一般是伪造一个链接当用户点击链接的时候,攻击就已经完成了所以又被称为 one click attack/session riding 。是一种挟制用户在当前以登录的web应用程序上执行非本意的操作的攻击方法 一般CSRF对场景的要求比较高往往需要多个条件才能实现,所以算不上是高危漏洞但是也不容小觑。一般都是攻击者盗用用户的身份,以用户的名义发送恶意请求,可以造成个人泄露、财产安全等 .
PiKachuCSRF(跨站请求伪造)
angry_program的博客
02-19 1669
概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 这里...
[Pikachu靶场实战系列] CSRF(跨站请求伪造)
00勇士王子的博客
07-19 313
CSRF概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 CSRF(get) 打开右边的提示,告诉我们有这么多用户,密码都是123456,我们要验证CSRF的存在,只需要让一个用户登录后点击构造好的url,然后自动修改个人信息。 首先先登录vince用户 修改个人信息 将信息全改成1,
Pikachu系列——CSRF
Zlirving_的博客
05-15 1151
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验三 —— CSRF CSRF概述 跨站请求伪造简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。 CSRF类型判断 GET: 先去掉参数尝试能否正常请求。如果可以,即存在CSRF漏洞。 POST: 如果有token等验证参数,先去掉参数尝试能否正常请求。如果可以,再去掉referer参数的内容,如果仍然可以,说
pikachu平台之csrf
qq_42728977的博客
12-16 1918
概述 参考链接 CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造,在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了,所以CSRF攻击也被称为“one click”攻击。 场景例子 lucy想要在购物网站上修改购物地址,这个操作是lucy通过浏览器向后端发送了请求。...
Pikachu-----CSRF(跨站请求伪造)
m0_65712192的博客
12-19 1275
Pikachu-----CSRF(跨站请求伪造)
pikachuCSRF
qq_43665434的博客
02-08 526
pikachuCSRF 文章目录pikachuCSRF一、神魔是CSRF?二、地位三、场景四、比xss何如?五、如何确认存在CSRF六、靶场测试1、CSRF(get)2、CSRF(post)3、CSRF Token七、CSRF防范措施 一、神魔是CSRF? Cross-site request forgery,跨站请求伪造,攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了,所以CSRF攻击也被称为“one click”攻击。 二、地位
pikachu靶场练习——CSRF详解
qq_42176496的博客
09-05 2213
pikachu靶场——CSRF详解
pikachu,dvwa的csrf详细步骤
05-17
初学者可以参考
pikachu-master
05-04
pikachu漏洞测试平台搭建
pikachu LINUX安装包,
07-14
上传到根目录,解压直接就问访问,里面有教程
pikachu靶场通关
11-19
pikachu靶场通关
pikachu-master.zip
06-25
Pikachu,这是一个综合类型的靶场练习环境,覆盖了较为全面的漏洞练习,在掌握漏洞原理后,可以通过该靶场来进一步强化自己的知识技能。
pikachu-csrf
qq_43660551的博客
04-25 111
登录vince/123456,点修改个人信息,地址栏看不到url,用bp抓包,直接在url中修改Vince的信息,将修改过的url:xxxxxxxx/pikachu/vul/csrf/csrfget/csrf_get_edit.php?攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。CSRF与XSS的区别:CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的权限,而XSS是直接盗取到了用户的权限,然后实施破坏。三、CSRF(TOKEN)
pikache靶场通关——CSRF攻击
p36273的博客
07-01 1206
靶场一共又三关,现在我们就来通关吧。
十五、pikachuCSRF
qq_55202378的博客
08-27 534
pikachu CSRF
pikachu靶场csrf
最新发布
09-03
Pikachu靶场是一个用于学习和测试网络安全漏洞的平台,其中包括了针对跨站请求伪造(CSRF)漏洞的攻击和防护内容。在这个平台上,你可以学习到CSRF攻击的原理、防护方法以及如何确认一个Web系统是否存在CSRF漏洞。引用 在Pikachu靶场中,CSRF攻击是通过构建恶意请求来利用用户的身份认证信息,窃取或者篡改用户的数据。攻击者通过在自己的网站上放置伪造的表单或者链接,引诱用户去点击,然后在用户不知情的情况下执行了恶意操作。为了防止这种攻击,可以使用一些防护措施,比如使用CSRF Token来验证请求的合法性。引用 在Pikachu靶场中,你可以通过完成一系列的关卡来学习CSRF漏洞的攻击和防护方法。这些关卡涵盖了CSRF攻击的不同类型,包括GET请求和POST请求等。此外,还介绍了CSRF Token的验证原理以及其他的防范措施。引用 所以,pikachu靶场提供了一个实践和学习CSRF漏洞的平台,通过完成相关关卡可以巩固对CSRF漏洞的学习和理解。引用<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Pikachu靶场之CSRF漏洞详解](https://blog.csdn.net/m0_46467017/article/details/124795334)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值