CSRF漏洞详解

最新推荐文章于 2024-05-21 23:21:19 发布
最新推荐文章于 2024-05-21 23:21:19 发布
阅读量233 收藏 3
点赞数 3
分类专栏: web安全 文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58849785/article/details/137814800
版权

目录

什么是同源策略

什么是csrf

CSRF 攻击会产生什么影响?

CSRF漏洞low等级复现

什么是同源策略

协议相同

域名相同

端口相同

什么是csrf

        跨站请求伪造(也称为 CSRF)是一种 Web 安全漏洞,允许攻击者诱导用户执行他们不打算执行的操作。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。

从上图能够看出,要完毕一次CSRF攻击,受害者必须依次完毕两个步骤:

        登录受信任站点A,并在本地生成Cookie。

        在不登出A的情况下,访问危急站点B。

CSRF 攻击会产生什么影响?

        在成功的 CSRF 攻击中,攻击者会导致受害用户无意中执行某项操作。例如,这可能是更改其帐户上的电子邮件地址、更改其密码或进行资金转账。根据操作的性质,攻击者可能能够完全控制用户的帐户。如果受感染的用户在应用程序中具有特权角色,那么攻击者可能能够完全控制应用程序的所有数据和功能。

CSRF漏洞low等级复现

1.将DVWA等级调整为低等级

2.打开CSRF攻击页面,发现可以用来修改密码

3.对该页面进行密码修改如图

4.此时我们发现URL为

http://127.0.0.1/dvwa/vulnerabilities/csrf/password_new=123456&password_conf=123456&Change=Change#

5.我们将URL修改为

http://192.168.10.102/DVWA/vulnerabilities/csrf/password_new=password&password_conf=password&Change=Change#在浏览器上访问修改好的URL,回到原DVWA网站后发现该网站密码被修改

7.用修改后的密码进行登录,发现登录成功

CSRF实验

第一步:访问login.php (登录页面)

第二步:进行登录

第三步:访问manage.php新建管理员

荔枝轩
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2417
本篇总结归纳CSRF漏洞
CSRF漏洞详解与挖掘
Candour_0的博客
02-27 229
CSRF漏洞详解与挖掘
CSRF 漏洞详解
一个努力学习网安的小牛马
11-13 516
CSRF漏洞详解
Pikachu靶场之CSRF漏洞详解
m0_46467017的博客
05-16 6983
Pikachu靶场之XSS漏洞详解前言漏洞简述CSRF是什么CSRF攻击原理CSRF攻击防护如何确认一个web系统存在CSRF漏洞第1关 CSRF(get)第2关 CSRF(post)第三关 CSRF Tokentoken验证原理其他防范措施 前言 本篇文章用于巩固对自己csrf漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu CSRF(跨站请求伪造) (皮卡丘漏洞平台通关系列) 链接: Pikachu漏洞靶场系列之CSRF 漏洞简述 CSRF是什么 CSRF全称为跨站请求伪造(Cro
csrf漏洞详解
2301_80661529的博客
03-01 924
跨站请求伪造(Cross-Site Request Forgery,简称CSRF或XSRF)是一种常见的web应用安全漏洞,它允许攻击者利用用户的已验证身份发起恶意请求而不被用户察觉。这种攻击手段主要利用的是用户已登录的身份凭证(如session cookie)在无意识的状态下自动携带到攻击者构造的请求中。漏洞原理当用户登录一个网站后,该网站会为用户生成一个会话标识(session token),通常存储在cookie中,用于验证后续请求的合法性。
pikachu之csrf漏洞
bailandawang123的博客
05-31 176
例如:小明在他的电脑上进行了一次修改密码,修改完密码之后利用抓包获得修改密码时的链接。获得了一个get请求,然后将这个链接发送给对方,对方在登陆状态下点击这个链接,此时点完之后,攻击也就完成了,对方的密码也因此被修改了。1自己修改信息,抓包,观察请求是否可以被伪造。csrf攻击场景:攻击者会伪造一个请求,然后骗用户去点击(此时用户必须在登陆状态下),用户一旦点击了攻击也就完成了。csrf是攻击者通过接用用户的权限来完成攻击(此时并没有拿到权限),xss是直接拿到了用户的权限,然后进行破坏。
pikachu靶场-->CSRF漏洞详解
unlash的博客
10-13 264
pikachu靶场CSRF漏洞详解,通关教程,漏洞介绍,防御措施,漏洞检测,漏洞危害
CSRF漏洞详细说明
02-26
经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证...
CSRF漏洞的靶场实验
09-19
靶场试炼
hucart-含有CSRF漏洞的源码.zip
12-31
hucart-含有CSRF漏洞的源码,亲测真实有效可用,如有侵权,请联系CSDN管理员删除
csrf漏洞.rar
09-15
常见csrf漏洞解决方案,亲测可用。用于Awvs扫描出来的常见漏洞解决方案。可通过添加前端session值验证
CSRF 攻击实验:无防御措施的 CSRF 漏洞
Flag少侠的博客
05-14 1468
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
CSRF 攻击
wanglf_clog的博客
05-21 303
CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击,是一种常见的网络攻击方式,它利用用户在已登录网站的凭证(如 Cookie、Session 等)向第三方网站发送非授权的请求。这种攻击之所以有效,是因为浏览器会自动携带用户在 A 网站的认证信息去访问 B 网站,如果 B 网站没有做好防护措施,就会误以为该请求是用户主动发起的并予以执行,从而可能执行恶意操作,如修改用户数据、进行非法转账等。
vue源码之mustache模板引擎1
最新发布
qweasl_的博客
05-21 166
模板引擎的一个有点:它是将数据转为视图的最优雅的方法。相信vue的玩家首先想到的是。而还没学vue的朋友,就只能进行dom操作了。通过数组的join方法。以及es6推出的模板字符串。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 678
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
vue3.0+antdv的admin管理系统vue-admin-beautiful推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
05-15 1129
几年前,笔者自学了vue这一优秀的前端框架,但苦于没项目练手,无意间发现了这一优秀的前端集成框架。当时就使用它做了一很有意思的小项目---终端监控云平台,实现了前端和后台的整体功能。整体方案介绍参见博文《》,前端使用vue-admin-beautiful框架,后端使用go-zero微服务框架,几天内就搞出来了一个包含前端和后台的小项目。我的monitor-ui前端运行界面:后续有机会介绍下我这个终端监控云平台小项目的具体实现,挺有意思的。几年前还用到过几个地方的公交客户现场,客户挺喜欢这个功能的。
Web Speech API(2)—— SpeechSynthesis
LiangRZ
05-21 277
Web Speech API 有两个部分:SpeechSynthesis 语音合成(文本到语音 TTS)和 SpeechRecognition 语音识别(异步语音识别)。语音合成 (也被称作是文本转为语音,英语简写是 tts) 包括接收 app 中需要语音合成的文本,再在设备麦克风播放出来这两个过程。其中包含了将由语音服务朗读的内容,以及如何朗读它(例如:语种、音高、音量)。语音合成服务的控制器接口,可用于获取设备上可用的合成语音,开始、暂停以及其他相关命令的信息。控制器,从而获取语音合成功能的入口。
综合性练习-验证码
cj13106811623的博客
05-15 825
生成验证码param(参数): 无Return: 图片的内容校验验证码用户输入的验证码5. 代码编写生成验证码://图型验证码写出,可以写出到文件,也可以写出到流try {//返回到浏览器修改前端代码相对应的接口验证成功。
csrf漏洞dvwa
09-13
在DVWA中,可以找到一些关于CSRF漏洞的练习。要利用CSRF漏洞,攻击者需要诱使受害者访问一个包含恶意请求的网页。当受害者登录到DVWA并点击了这个网页时,他们的操作将被误导到执行攻击者指定的操作,而不是预期的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值