使用dvwa环境进行csrf漏洞练习

已于 2023-03-29 22:51:46 修改
阅读量197 收藏 4
点赞数 2
文章标签: 安全 Powered by 金山文档
于 2023-03-22 08:50:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52685785/article/details/129701867
版权
原理:

在用户登陆网站后,网站中的验证cookie没有过期时,引诱用户访问带有恶意脚本的连接网页,从而借助用户的cookie进行非法操作

防御:

验证HTTP Referer字段;(referer中存在http请求的来源地址)

在请求地址中添加token并验证;(token不存在与cookie中)

在HTTP头中自定义属性并验证。

Low:

输入修改的密码

使用burp进行抓包,查看数据包信息

更改密码后放包

重新登录进行测试

显示登陆失败

登陆成功

或者对网址进行添加恶意链接

http://ip/dvwa-master/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#

用户点击后,会直接弹出Password Changed.将密码改为admin

此时密码修改完成

Medium:

这个等级也是可以通过上述抓包进行修改(不做演示)

其对url进行了进一步的过滤

在phpstudy中放入以下文件

<·img src=“http://192.168.8.8/dvwa-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#” border=“0” style=“display:none;”/>

<·h1>404<·h1>

<·h2>file not found.<h2·>

关闭代理后,发现密码修改成功

修改成功

High:

抓包直接修改没用

用到burp中的一个拓展

填写以下信息

将响应包发到重放器中修改密码

关闭代理查看页面

修改成功

~Auspicious~
关注
DVWA靶场搭建与使用
09-02
DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,专门为网络安全专业人员、开发人员和学生设计,用于学习和练习常见Web应用漏洞的识别和利用。它提供了多种安全漏洞的模拟场景,包括SQL注入、跨站...
DVWACSRF漏洞
weixin_56306210的博客
03-17 1270
DVWACSRF漏洞
DVWA(Web 渗透的靶机环境)+csrf漏洞练习
net的博客
03-16 4896
用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。十个攻击模块,分别是:1、Brute Force(暴力(破解))、2、Command Injection(命令行注入)、3、CSRF(跨站请求伪造)、4、- File Inclusion(文件包含)、5、File Upload(文件上传)、6、Insecure CAPTCHA (不安全的验证码)、
CSRF02】跨站请求伪造——DVWA靶场实操(含CSRF+XSS协同攻击实验
Fighting_hawk的博客
03-15 7389
1. 掌握网页相关语言中各种标签的运用; 2. 灵活使用XSS注入代码; 3. 掌握CSRF攻击的方法; 4. 掌握XSS+CSRF协同攻击的方法。
DVWA——CSRF漏洞
qq_62803993的博客
01-14 353
首先进入初级页面我们知道这是一个修改密码的,当我们输入密码进行修改后,提示修改成功后,我们会发现这也是一个get型提交。那我们就试试直接在地址栏中修改内容,看能否执行成功。(修改内容后,我们复制链接重新打开一个界面,然后输入网址进入页面,出现下图,要注意的是我们必须使用同一个浏览器,因为在访问页面时通常存在cookie认证,否则即使点击了恶意链接也没用。
DVWACSRF漏洞(详细)
热门推荐
qq_44720671的博客
07-26 2万+
CSRF简介 csrf全称为:Cross-site request forgery,是一种常见的web攻击。在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 与xss的区别:csrf是借助用户的权限完成攻击攻击者并没有拿到权限;而xss是直接盗取用户权限去进行破坏。 更改难度: 点击dvwa security,选择难度,然后点击submit...
DVWA练习平台
04-24
DVWA练习平台】是一个专为安全专业人员和Web开发者设计的在线学习环境,它基于PHP和MySQL构建,用于模拟各种网络安全漏洞,以便用户能够实战演练安全防护技能。该平台涵盖了从低到高的多种安全级别,让使用者在...
DVMA-渗透测试漏洞练习平台
12-02
DVMA-渗透测试漏洞练习平台, 其中内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境
DVWA-master.zip
01-04
除了上述常见漏洞外,DVWA还包括如“弱口令”、“CSRF(跨站请求伪造)”、“不安全的直接对象引用”等其他安全挑战,这些都为学习者提供了全面的安全训练。 7. **实践与挑战** 通过DVWA,你可以模拟黑客的攻击...
渗透测试初学者资源 DVWA压缩包
12-23
这个"渗透测试初学者资源 DVWA压缩包"显然就是针对想要进入这一领域的学习者提供的一个练习环境DVWA的设计目的是提供一个安全漏洞的实战平台,涵盖了SQL注入、XSS(跨站脚本)、CSRF(跨站请求伪造)等常见的Web...
DVWACSRF
RexHa的博客
09-30 7732
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
DVWACSRF漏洞复现
weixin_43263451的博客
07-19 1083
CSRF(跨站请求伪造)定义跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 基本原理 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:   ...
DVWA-CSRF
ahannn的博客
02-15 3047
欢迎各位指出错误以及补充有关知识,这一系列用于个人学习记录,在记录DVWA的同时也记录所用的相关知识,尽可能详细写,如果能帮到和我一样的安全小白我很荣幸 文章目录 一 CSRF是什么? 二 CSRF防御与攻击原理 三 DVWA分析 1.low 2.medium 3.high 总结 一、CSRF是什么? CSRF 跨站点请求伪造(Cross—Site Request Forgery) 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求...
DVWA-—【CSRF漏洞利用
qq_34914659的博客
05-20 1139
1.漏洞介绍 CSRF跨站点请求伪造(Cross—Site Request Forgery),攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。https://www.freebuf.com/articles/web/253838.htmlCSRF和XSS的最大的区别在于,CSRF并没有盗取cookie而是直接利用。 下图...
使用dvwa环境进行csrf漏洞练习;ssrf漏洞;xss漏洞csrf漏洞的区别
m0_52341820的博客
04-14 5342
csrf漏洞的原理是?如何防御和利用csrf漏洞。 当我们打开或登录某个网站后,浏览器与网站所存放的服务器将会产生一个会话,在会话结束前,用户就可以利用具有的网站权限对网站进行操作(如:发表文章、发送邮件、删除文章等)。会话借宿后,在进行权限操作,网站就会告知会话超期或重新登录。当登录网站后,浏览器就会和可信的站点建立一个经过认证的会话。所有通过这个经过认证的会话发送请求,都被认定为可信的行为,例如转账、汇款等操作。当这个会话认证的时间过长或者自主结束断开;必须重新建立经过认证的可信安全的会话。CSRF
self xss+csrf dvwa靶机复现
qq_52016943的博客
08-17 279
self XSS+CSRF
DVWA渗透测试演示(下)
Fly_鹏程万里
02-28 1692
八、DVWA之PHP+MySQL手工注入:(1)SQL注入:在用户的输入没有为转移字符过滤时,就会发生这种形式的注入攻击,它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句进行操纵。就是通过吧SQL命令插入到web表单或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意代码的SQL命令。(2)view source:由此可知,当输入正确的ID时,将显示ID:xxx ...
DVWA环境实战测试 “文件包含”漏洞(步骤详细)
qq_40529133的博客
03-30 4881
文件包含漏洞 概念 文件包含其实是一种代码的处理方法,函数如include,require等 参数是文件名。当一个代码文件想要引用另一个代码文件时就要用到包含。 *文件包含漏洞: 如果文件包含漏洞的参数可控且过滤不严,就会被攻击者“偷梁换柱”,直接引用恶意代码达到代码执行的目的 准备实战环境 进入DVWA界面 我们先把安全等级调成low等级, 进入File inclusion 模块 在这里我们要...
DVWA csrf漏洞\
最新发布
07-23
要利用DVWA中的CSRF漏洞进行攻击,首先需要了解目标应用程序的功能和请求结构。然后,攻击者可以构建一个包含恶意请求的HTML页面,并欺骗用户访问该页面。当用户访问页面时,恶意请求将自动发送到目标应用程序,执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值