seed lab - web security 1 - csrf lab

已于 2022-03-30 14:16:32 修改
阅读量763 收藏
点赞数
分类专栏: 笔记 Cyber Security 文章标签: 网络安全
于 2021-05-25 15:29:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57901967/article/details/117257151
版权
本文介绍了Seed Lab的Web安全实验室,重点是CSRF(跨站请求伪造)攻击。首先,详细说明了实验环境的搭建,包括下载Ubuntu虚拟机和配置。接着,通过两个具体的例子展示了CSRF攻击:添加好友和编辑个人资料。实验中,攻击者Samy利用CSRF漏洞,使得用户Alice在不知情的情况下添加Samy为好友,并修改了她的个人资料。最后,讨论了开启防护措施的方法,并提及了在Seed Lab 2.0版本中使用Docker容器遇到的问题以及GET和POST方法的选择。
摘要由CSDN通过智能技术生成

seed lab - web security 1 - csrf lab

1. Lab Setup

1.1 Download seedlab ubuntu16 SEEDUbuntu-16.04-32bit.zip, from mediafire link, via XunLei, fast speed. Extract zip file.
1.2 Create virtualbox VM, select the extracted SEEDUbuntu-16.04-32bit.vmdk file. Run VM.

2. CSRF Attack - add friend

2.1 Run firefox, visit www.csrflabelgg.com. Because /etc/hosts include “127.0.0.1 www.csrfelgg.com”, so it doesn’t route outside the VM.
2.2 Login as Samy/seedsamy. Vim “addfriend.html”,
src= “http://www.csrflabelgg.com/action/friends/add?friend=45” //samy=45
alt=“image” width=“100” height=“100” />

$ cp addfriend.html /var/www/CSRF/Attacker/index.html

In Elgg, Samy send Alice a message with the url: www.csrflabattacker.com.

最低0.47元/天 解锁文章
Walker0319
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SeedLabs-Web安全-CSRF实验
Anonymity
06-23 3063
SeedLabs-Web安全-CSRF实验 文章目录SeedLabs-Web安全-CSRF实验前言一、Task1 熟悉SQL语句1. 观察HTTP请求2.使用基本的SQL语句二、Task2 SQL注入攻击之select2.1 网页SQL注入攻击。2.2 来自命令行的SQL注入攻击。2.3 添加一条新的SQL语句。三、SQL注入攻击之UPDATE3.1 修改自己的薪水。3.2 修改他人工资四、Countermeasure — Prepared Statement 前言 CSRF注入的实验记录 提示:以
SeedLabs-Web安全-CSRFProblem
Anonymity
06-15 1019
. List item CSRFProblem Problem问答 文章目录CSRFProblem问题记录P-1 解释为什么same-site cookie可以帮助防止CSRF攻击。P-2 解释网站如何使用secret token来防止CSRF攻击,以及为什么这样做P-3 现在,大多数网站都使用HTTPS,而不是HTTP。我们还需要担心关于CSRF攻击吗?P-4 使用LiveHTTPHeader,我们发现下面的GET请求用于发送一个HTTP请求www.example.com删除用户(仅所有者)拥有的页面对
SEED LAB】Cross-Site Request Forgery (CSRF) Attack Lab -跨站请求伪造
Jeongon的博客
11-22 1987
跨站请求伪造说明及实验过程
[seed-labs] 跨站请求伪造(CSRF)攻击实验
最新发布
[热爱分享]希望大家都能花时间在学习自己喜欢的东西上
05-11 434
软件安全实验五:跨站请求伪造(CSRF)攻击实验
信息安全 SEED Lab8 Cross-Site Request Forgery (CSRF) Attack Lab
crazyliu的博客
06-08 2932
这个实验主要是利用CSRF攻击来完成一些恶意的操作。由于整个实验过程要用到两个网站,这里先配置一下。 两个网站都部署在本地,且用域名访问,所以我们需要现在 /etc/hosts文件中设置域名到 IP 的映射关系。内容如下: 127.0.0.1 www.csrflabelgg.com 127.0.0.1 www.csrflabattacker.com 网站使用Apache作为服务器,在/etc/apache2/sites-available/000-default.conf配.
seed lab - web security 2 - xss lab
weixin_57901967的博客
05-28 852
seed lab - web security 2 - xss lab 1. Lab Setup same as csrf lab. 2. xss Attack - add friend 2.1 Vim “xssaddfriend.txt”: var sendurl=“http://www.xsslabelgg.com/action/friends/add”+"?friend=47"+token+ts; Ajax.open(“GET”,sendurl,true); 2.2 Run firefox, visi
spring-security-jwt-csrf:使用Spring Security,Spring Boot和Vue js进行无状态JWT身份验证的演示
01-31
基于令牌(Spring Security, 和CSRF) 客户端构建工具 ,Webpack,npm 服务器构建工具 Gradle Безопасность( Security ) JWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -...
Lab-09-Spring-Web-Api
02-18
标题 "Lab-09-Spring-Web-Api" 指向的是一个关于Spring Web API的实验项目。这个实验可能涵盖了如何使用Spring框架构建RESTful Web服务,这在现代Java开发中是至关重要的。让我们深入探讨一下这个主题。 **Spring...
CSRF-Protector-PHP:CSRF保护器库
05-10
" owasp/csrf-protector-php " : " dev-master " } } 然后打开终端(或命令提示符),移至项目目录并运行 composer install # # Or alternatively php composer.phar install 这会将CSRFP添加到您的项目目录中...
如何在虚拟机中安装SEEDUbuntu9_August_2010.tar.gz-附件资源
03-02
如何在虚拟机中安装SEEDUbuntu9_August_2010.tar.gz-附件资源
SeedUbuntu虚拟机使用手册1
08-08
SeedUbuntu虚拟机使用手册1
ubuntu-16.04.3镜像种子
02-08
ubuntu-16.04.3 镜像种子(ubuntu-16.04.3-desktop-amd64.zip
【科软课程-信息安全】Lab10 Cross-Site Request Forgery (CSRF) Attack
weixin_41950078的博客
06-07 4772
1.0 概述 本实验的目的是帮助学生理解跨站点请求伪造(CSRF)攻击。CSRF攻击涉及受害用户、可信站点和恶意站点。受害用户在访问恶意站点时与受信任站点保持活动会话。恶意站点将对受信任站点的HTTP请求注入受害用户会话,从而造成损害。 在本实验中,学生将使用CSRF攻击来攻击社交网络应用程序。开源的社交网络应用程序叫做Elgg,它已经安装在我们的虚拟机中了。Elgg有对付CSRF的对策,但是我们为了这个实验室的目的已经关掉了。本实验涵盖以下主题: 跨站点请求伪造攻击 CSRF对策:秘密令牌和同站点
LAB9 跨站请求伪造(CSRF
qq_39411845的博客
07-13 691
跨站请求伪造(CSRF)是一种恶意攻击当普通用户访问恶意网页时,该网页可以代替用户向目标网站发送伪造的请求。由于请求来自第三方网页,所以被称为跨站请求。如果目标网站没有采取适当的应对措施那么就无法区分一个请求是来自第三方页面的伪造请求还是一个来自本网站页面的真正用户请求.这就诱发了CSRF 漏洞。这个实验主要是利用CSRF攻击来完成一些恶意的操作。 ** 实验准备:** DNS Configuration. 修改/etc/hosts/文件设置如下ip映射: `` 127.0.0.1 ...
SEED Labs 2.0】Cross-Site Scripting Attack Lab
Chenyang的博客
08-25 5346
本文为 SEED Labs 2.0 - Cross-Site Scripting Attack Lab 的实验记录。 实验原理 跨站脚本攻击是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。xss 漏洞通常是通过 php 的输出函数将 javascript 代码输出到 html 页面中,通过用户本地浏览器执行的,所以 xss 漏洞关键就是寻找参数未过滤的输出函数。 Task 1: Posting
Collabtive系统CSRF攻击实验
qq_29687403的博客
08-27 1803
本次实验的目的是了解和体验跨站请求伪造(CSRF或XSRF)攻击。CSRF攻击涉及用户受害者,受信任的网站,恶意网站。受害者与受信任的站点和用户拥有一个活跃的会话同时访问恶意网站。恶意网站注入一个HTTP请求为受信任的站点到受害者用户会话牺牲其完整性。
软件安全实验-SEEDubuntu-Shellshock Attack Lab
Luobuda的博客
11-30 2374
实验要求 Task 1 Task 2 Task 3 Task 4 Task 5 Task 6 实验环境 SEEDUbuntuUbuntu 16.04) 实验步骤 Task1 Bash的版本:在本书提供的SEED Ubuntu 16.04虚拟机中,有两个版本的Bash程序位于/bin目录中。一个版本就叫Bash,这个版本已经打了补丁,所以不会受Shellshock攻击的影响。终端中运行的shell程序就是这个安全的Bash版本,它在函数传递的行为方面做了改变。另外一个版本叫bash_shells
SEEDLabs- CSRF Attack
m0_51357657的博客
09-05 664
CSRF攻击利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
YII_CSRF_TOKEN
04-05
在Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌。CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的有效性,可以有效地防止CSRF攻击。 在Yii框架中,有两种方式可以获取YII_CSRF_TOKEN令牌: 1. 自动获取YII_CSRF_TOKEN令牌[^1]: 在主配置文件中进行简单的配置,启用Yii的CSRF验证功能。在components中的request配置中,将enableCsrfValidation设置为true。这样,在每个表单提交时,Yii框架会自动添加一个隐藏字段YII_CSRF_TOKEN,并验证该令牌的有效性。 2. 手动获取YII_CSRF_TOKEN令牌: 如果你自己编写的表单没有使用Yii的表单助手(Form Helper),你需要手动添加一个隐藏字段YII_CSRF_TOKEN。你可以使用Yii的getRequest()方法获取YII_CSRF_TOKEN的值,并将其作为隐藏字段的值。 下面是一个手动添加隐藏字段YII_CSRF_TOKEN的例子: ```php <input type="hidden" value="<?php echo Yii::app()->getRequest()->getCsrfToken(); ?>" name="YII_CSRF_TOKEN" /> ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值