跨站攻击CSRF实验

最新推荐文章于 2024-10-15 15:24:52 发布
最新推荐文章于 2024-10-15 15:24:52 发布
阅读量319 收藏
点赞数 4
文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52654869/article/details/137991333
版权

1.low等级

先利用Burp抓包

将get响应的url地址复制,发到网页上(Low等级到这完成)

Medium:

再将抓到的包发到Repeater上,对请求中的Referer进行修改,修改成和url一样的地址,修改成功。

在这里修改后发送

然后重新登录后输入新的密码就可以进入了

High级别:先修改等级

在dvwa的反射型xss处插入下列语句:

<iframe src="../csrf/"οnlοad=alert(frames[0].document.getElementsByName('user_token')[0].value)></iframe>

可以弹框得到当前的token值

复制粘贴到这个位置并修改密码

Login后重新输入密码

小豌豆-努力版
关注
跨站请求伪造——CSRF攻击实验报告
shshuahw的博客
08-09 2333
跨站请求伪造是Web安全中最基础的一个实验,由于现在网站的防护措施做的比较完善,已经不怎么能见到这种攻击了,更多的是下一篇博客所讲述的跨站脚本攻击(XSS) 这个实验比较简单,所以百分之五十的时间花在摸索docker的使用上。。 一.环境搭建 1.搭建docker并获得docker下的shell 创建docker镜像 由下图可见docker镜像创建成功,接下来启动docker 输入dockps查看攻击者的容器id,输入docksh id获得docker下的一个shell 2.修改配置文件/etc/ho
跨站请求伪造(CSRF)漏洞详解
CoffeMilk的博客
09-21 1283
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求的攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造的攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击
CSRF02】跨站请求伪造——DVWA靶场实操(含CSRF+XSS协同攻击实验
Fighting_hawk的博客
03-15 7415
1. 掌握网页相关语言中各种标签的运用; 2. 灵活使用XSS注入代码; 3. 掌握CSRF攻击的方法; 4. 掌握XSS+CSRF协同攻击的方法。
DVWA之CSRF(跨站请求伪造攻击)
热门推荐
谢公子的博客
10-01 1万+
目录 Low Middle High Impossible Low 源代码: &lt;?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; ...
【工具-DVWA】DVWA渗透系列三:CSRF
qqchaozai的专栏
10-21 2336
前言 DVWA安装使用介绍,见:【工具-DVWA】DVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
web安全-----CSRF漏洞
qq_41683305的博客
03-04 408
简述 CSRF:Cross-site request -forgery,跨站请求伪造,是一种web攻击方式,是由于网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要访问这个网站,都会默认你已经登录。 危害 攻击者可以利用你的身份,以你的名义发送恶意请求。cerf能够做的事情包括:以你的名义发送邮件,发信息,盗取你的账号,甚至购买商品,虚拟商品转账 CSRF之POC制作 测试环境:DVWA的CSRF,low 1、利用burpsuit生成CSRF_POC 打开要测试的页面,burps
跨站攻击(XSS+CSRF).docx
01-05
3. 从攻击者和受害者角度理解CSRF攻击,实施Low、Medium、High等级的CSRF攻击。 4. 学习并实践CSRF的修复措施,如使用CSRF Token等。 5. 撰写实验报告,注重规范性、逻辑性和表达清晰度。 实验过程中,学生将使用...
Web安全实验跨站攻击(XSS+CSRF)原理与实战
"本次实验主要关注的是Web安全中的两种重要攻击方式:跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。实验旨在让参与者深入理解这两种攻击的原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...
DVWA 实验报告:3、跨站请求伪造 CSRF
看那白熊
05-14 1711
跨站请求伪造的复现
【渗透测试】【DVWA】CSRF
preserphy的博客
08-07 1578
CSRF】 全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。...
javascript - iframe的操作问题
麻雀的专栏
08-02 839
假设有.要改变一个iframe的大小,要调用document.getElementsByName("FRAME")[0]类似的方法.要拿到iframe的document对象, 可以:document.frames[0].documentdocument.frames(0).documentdocument.frames("FRAME").documentdocument.getElementsBy
【DVWA】--- 三、跨站请求伪造(CSRF)
qq_43168364的博客
05-31 493
CSRF 一、low级别 代码分析
web渗透测试----14、CSRF跨站请求伪造攻击
七天
03-25 3746
文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的会话处理3、没有不可预测的请求参数三、CSRF的防御1、验证请求的Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于Token的CSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户会话4、CSRF令牌绑定到非会话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是
No.15 笔记 | CSRF 跨站请求伪造
l1x1n0的博客
10-10 1386
CSRF跨站请求伪造,是一种恶意利用网站漏洞的攻击方式。攻击者伪装用户请求盗取信息。有 GET 和 POST 等类型,常见于密码修改、转账等操作处。可通过使用 POST、加验证码、检查 Referer 和使用 Token 等防御。
什么是 CSRF 攻击
让 Java 再次伟大!
10-10 738
要记住 CSRF 不是黑客唯一的攻击手段,无论你 CSRF 防范有多么严密,如果你系统有其他安全漏洞,比如跨站域脚本攻击 XSS,那么黑客就可以绕过你的安全防护,展开包括 CSRF 在内的各种攻击,你的防线将如同虚设。CSRF 是一种危害非常大的攻击,又很难以防范。目前几种防御策略虽然可以很大程度上抵御 CSRF攻击,但并没有一种完美的解决方案。
什么是CSRF 攻击
Sherry Tian的博客
10-14 1259
CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种网络攻击手段,它利用合法用户的权限来执行非授权的操作。本篇讲CSRF的工作原理
web扩展
x737510的博客
10-10 604
HTTP(Hypertext Transfer Protocol)协议中的它们在用途和使用方式上有一些区别。用于请求服务器上的资源,通常是获取数据。GET 请求是幂等的,多次请求返回的结果应该是相同的,而且不应该对服务器产生任何副作用。用于向服务器提交数据,通常是提交表单数据或上传文件等。POST 请求可能对服务器产生副作用,例如在数据库中创建新的资源。数据通过 URL 参数传递,附在 URL 后面。因为数据在 URL 中可见,所以不适合传递敏感信息,且有长度限制。
前端开发攻略---8种方法实现在浏览器中跨页面通信
最新发布
nibabaoo的博客
10-15 1083
浏览器实现跨标签页通信的多种方式
Element-plus el-form、el-dialog 数据回显同时用时,重置失效问题
Mr. Zhang Xiaojian's Blog
10-12 494
当第一次打开网页并点击“编辑”按钮时,虽然对话框变量变为 true 使对话框可见,但同步代码会将 formData 对象的属性设置为默认值。由于 Vue 的异步更新机制,DOM 实际上还未更新,因此表单组件内绑定了这些有值的初始数据。这样,在后续调用 resetFields 方法时,表单将会重置为这些默认值而不是空值。编辑时表单的初始值被设置成了回显的数据,而不是空字符串。时,表单会回到上次设置的初始值,即回显的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值