CSRF(三)dvwa靶场实验

最新推荐文章于 2024-04-08 20:53:50 发布
最新推荐文章于 2024-04-08 20:53:50 发布
阅读量335 收藏 12
点赞数 4
分类专栏: 跟我学网安知识 文章标签: csrf 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuqixiufen2/article/details/136422132
版权

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

0、环境准备

靶场环境搭建详参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》

1、等级Low

先点Test Credentials用admin账号密码登录,然后输入新密码进行修改密码,使用Burp Suite的历史记录找到对应请求,右击Engagement tools->Generate CSRF PoC
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、等级Medium

先点Test Credentials用admin账号密码登录,然后输入新密码进行修改密码,使用Burp Suite的历史记录找到对应请求,右击Engagement tools->Generate CSRF PoC,尝试跟等级Low,发现不可行。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

同样的方式访问是不可行的
在这里插入图片描述
在这里插入图片描述

然后在小皮/WWW/dvwa-old/目录,创建一个空文本,重命名为本机的IP,后缀名为html,把复制的html内容放到这个文件里面。

在这里插入图片描述

然后访问这个文件
在这里插入图片描述
在这里插入图片描述

3、资料获取

如果需要Burp Suite工具,请关注我的公众号:大象只为你,后台回复:BP安装

大象只为你
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA下的CSRF攻防实战(详解)
一期一会的博客
04-20 4652
DVWA下的CSRF攻防实战(详解) 我们简单谈一谈CSRF与XSS的区别: CSRF (cross site request forgery)跨站请求伪造。CSRF是用户在不知情的情况下提交请求,而XSS是用户自己点击链接来访问网页。 整个攻击过程: 用户浏览并登录受信任网站A(dvwa),登录成功以后网站A会返回浏览器的信息中带有已登录的cookie,cookie信息会在浏览器端保存一定时间(根据浏览器设置而定),在用户没有退出网站A的情况下访问恶意站点B(这里在win2003制作一个危险网站),该危
CSRF漏洞的靶场实验
09-19
靶场试炼
CSRF DVWA 实验
m0_63645854的博客
04-10 117
CSRF-DVWA实验
DVWA靶场通关教程(medium、high)
最新发布
npc88888的博客
04-08 630
这题有点滑头,是这样的,输入的时候会弹出一个框嘛,然后查看发出的请求就会发现,在弹出框中输入的注入语句会传到原本网页的cookie中,再传入。high难度多了个token,具体思路就是先登录,然后在浏览器中获取cookie然后放入脚本的请求头中,get请求获得token,再用这个token登录。所以我们可以把链接写成页面传入服务器,然后把页面名改为网站ip,再在网站中点入页面,就可以修改密码了。前面的过程不写了,思路是一样的,把密码爆破出来就行。如果用low的方法直接发链接,是过不了这个验证的。
Dvwa csrf之low、medium、high级别漏洞实战
永不垂头的博客
08-11 4898
Dvwa csrf低中高级别漏洞实战 Low 源代码如下: GLOBALS:引用全局作用域中可用的全部变量。GLOBALS :引用全局作用域中可用的全部变量。GLOBALS:引用全局作用域中可用的全部变量。GLOBALS 这种全局变量用于在 PHP 脚本中的任意位置访问全局变量(从函数或方法中均可)。PHP 在名为 $GLOBALS[index] 的数组中存储了所有全局变量。变量的名字就是数组的键。 从源代码可以看出这里只是对用户输入的两个密码进行判断,看是否相等。不相等就提示密码不匹配。 相等的话,查看
DVWACSRF攻击(Low&medium&High)
liweibin812的博客
01-14 5085
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。在20...
DVWACSRF-Medium跨站请求伪造中级
qq_39330735的博客
02-09 703
DVWACSRF-Medium跨站请求伪造中级,过关思路和详解
DVWA靶场通关——CSRF攻击
p36273的博客
07-01 1070
DVWA靶场一共又关,现在我们就来通关吧。使用工具:Burp Suite Professional抓包工具。
PHP、Apache环境中部署DVWA(综合靶场
01-08
PHP、Apache环境中部署DVWA(网络安全综合靶场),包括密码爆破、SQL注入、文件上传、文件包含、XSS、CSRF等等场景
pikachu,dvwacsrf详细步骤
05-17
初学者可以参考
OWASP Mutillidae II 漏洞靶场实验指导书.pdf
11-20
OWASP Mutillidae II 漏洞靶场实验指导书汇总 OWASP Top 10 应用安全风险-2017 OWASP (Open Web Application Security Project)开放式 Web 应用程序 安全项目,是一个组织,它提供有关计算机和互联网应用程序的...
Web安全第实验(CSRF,XSS,点击劫持).rar
12-26
文件中包含myzoo,csrf.html,xss.txt,hijack.html.其中myzoo是测试网站,csrf需要在测试网站中的profile中设置超链接,xss攻击则直接可以将xss.txt内容复制到profile中,点击劫持也是需要设置超链接。
新手指南:DVWA全级别教程之CSRF
g695144224的博客
08-09 2757
转自:http://www.freebuf.com/articles/web/118352.html DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是Brute
DVWA靶机-XSS与CSRF、文件上传的攻击原理、分类、对比以及漏洞演示(low、Medium、Hign、Impossible)
天下著书立传者,皆为我师
03-16 1103
DVWA靶机--讲解XSS与CSRF、文件上传的攻击原理、分类、对比以及漏洞演示(low、Medium、Hign、Impossible)
DVWA靶场CSRF(low级)
weixin_61178511的博客
01-29 2508
CSRF的中文叫:”跨站请求攻击“,它是通过仿照某一个特殊的网页(重置密码)来进行诱惑性攻击。 首先,更改难度为low级,打开浏览器代理,打开Burp Suite进行抓包,输入要修改的密码。呈现如下页面。 可以看到进行构造的poc,然后点击行动->相关工具->CSRF Poc 生成进行攻击poc 点击用浏览器测试,出现如上框,进行复制,再打开页面进入如下网页 点击Submit request完成攻击,然后直接放包即可 登录查看旧密码已失效。即更改成功 ...
DVWA靶场CSRF(跨站请求伪造)
m0_65712192的博客
11-12 966
DVWA靶场CSRF(跨站请求伪造)
DVWA靶场全解析(新手向)
LS_Sy的博客
02-18 1359
我们直接在输入栏内随便填写数据,之后使用bp进行抓包抓到包后发送到instruder模块进行爆破,由于需要同时爆破用户名和密码两个字段,所以我们选择集束炸弹模式设置好字典后开始爆破,最后根据响应头的不同得到用户名和密码。
CSRF漏洞(原理、DVWA实验、修复建议)
coderge's CSDN Blog.
09-20 2583
目录 1 介绍CSRF漏洞 2 CSRF漏洞的原理 3 DVWA CSRF实验过程 3.1 low级别 3.2 medium级别 相关函数说明 3.3 high级别 3.4 impossible级别 4 CSRF漏洞修复建议 1 介绍CSRF漏洞 CSRF (Cross -site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)
DVWA_CSRF_medium
qq_45434762的博客
01-09 826
1.通过查看源代码发现后端程序验证了Referer,所以在构造CSRF数据包时需要指定Referer的值, 2.在修改密码页面填入新密码进行提交,使用BurpSuit进行抓包拦截。并构造CSRF POC 3.构造好CSRF POC之后,在浏览器中进行测试 4.使用BurpSuit拦截数据包,对Referer值进行修改,使其不为一...
dvwacsrf实验
05-16
DVWA是一个用于测试Web应用程序安全性的漏洞测试平台,其中包括了一些常见的Web安全漏洞实验,其中包括CSRF攻击实验。下面是实现DVWACSRF攻击的步骤: 1. 打开DVWA漏洞测试平台,进入CSRF攻击实验页面。 2. 在CSRF攻击实验页面中,可以看到一个表单,其中包含一个隐藏的input标签,用于传递攻击者构造的恶意数据。 3. 在本地打开一个编辑器,创建一个HTML文件,其中包含一个表单和一个JavaScript代码块。表单中包含一个与DVWA中表单相同的隐藏input标签,以及一个针对DVWA目标网站的POST请求。 4. 在JavaScript代码块中,编写一个函数,用于动态生成一个包含上述表单的HTML文档,并将该文档插入到当前网页的DOM中。 5. 打开浏览器的开发者工具,在控制台中输入上述函数名,执行该函数。 6. 在DVWA中,点击提交按钮,此时会向服务器发送一条POST请求,包含恶意数据。由于该请求是由用户自己发起的,而不是由攻击者发起的,因此目标网站无法识别出该请求是恶意的,从而执行了攻击者构造的恶意操作。 通过上述步骤,可以成功地进行DVWACSRF攻击实验。请注意,这只是一个演示实验,不要在生产环境中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值