php curl带有csrf-token验证模拟提交方法

最新推荐文章于 2021-03-12 05:02:21 发布
最新推荐文章于 2021-03-12 05:02:21 发布
阅读量8.8k 收藏 5
点赞数
分类专栏: PHP 文章标签: csrf-token csrf token curl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiong_web/article/details/52846402
版权

通常为了安全会在表单里加入一个随机的token值来防止csrf攻击。要想模拟提交有token验证的网站其实也不难。

1.通过正则获取token
2.带上获取到的token模拟提交

下面是一个成功的例子
目录结构

│ form.php --需要模拟的表单
│ getForm.php – 模拟提交程序
│ post.php --表单验证程序

└─cookie – cookie存放目录

getForm.php

<?php
$cookie_file = './cookie/'.time().'.cookie';
$str = getResponse('http://a.curl.com:81/form.php',[],$cookie_file);
setcookie("PHPSESSID", "vc0heoa6lfsi3gger54pkns152");
preg_match('/<input name="token" type="hidden" value="(.*)"/U', $str, $match);

$post['token'] = $match[1];
$post['name'] = '3333333';
$post['password'] = '12121213';
print_r(getResponse('http://a.curl.com:81/post.php', $post, $cookie_file));

function getResponse($url, $data=[],  $cookie_file='', $timeout = 3)
    {
        if(empty($cookie_file))
        {
            $cookie_file = '.cookie';
        }

        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_REFERER, "https://www.baidu.com");   //构造来路
       curl_setopt($ch, CURLOPT_USERAGENT,"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36");

        if(!empty($data))
        {
            curl_setopt($ch, CURLOPT_POST, true);
            curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
        }
        curl_setopt($ch,  CURLOPT_COOKIEJAR, $cookie_file);// 取cookie的参数是
        curl_setopt ($ch, CURLOPT_COOKIEFILE, $cookie_file); //发送cookie
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
        try
        {
             $handles = curl_exec($ch);
              curl_close($ch);
              return $handles;
        }
        catch (Exception $e)
        {
            echo 'Caught exception: ',  $e->getMessage(), "\n";
        }
        unlink($cookie_file);
    }

form.php

<?php
session_start();
$_SESSION['token'] = md5($_SERVER['REQUEST_TIME']);
$_SESSION['time'] = date("Y-m-d H:i:s");
session_write_close();
//echo $_SESSION['auth'];
?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 <head>
  <title> new document </title>
  <meta name="generator" content="editplus" />
  <meta name="author" content="" />
  <meta name="keywords" content="" />
  <meta name="description" content="" />
 </head>
 <body>
<form action="post.php"  method="post">
    <p><input name="name" type="text"></p>
    <p><input name="password" type="password"></p>
    <p><input name="token" type="hidden" value="<?php echo $_SESSION['token']?>"></p>
    <p><input type="submit"></p>
</form>
 </body>
</html>

post.php

<?php
session_start();
if (empty($_POST['token'])) {
	exit ("token is empty!");
} 

if (empty($_SESSION['token'])) {
	exit ("session is empty");
} 

if ($_POST['token'] != $_SESSION['token']) {
	exit ("token ");
} else {
	unset($_SESSION['token']);
} 

echo PHP_EOL;
echo "pass";
print_r($_REQUEST);

echo PHP_EOL;
print_r($_SERVER);
_xiaoxiong
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
php 模拟访问csrf,详解php curl带有csrf-token验证模拟提交方法
weixin_33101399的博客
03-11 159
通常为了安全会在表单里加入一个随机的token值来防止csrf攻击。要想模拟提交token验证的网站其实也不难。1.通过正则获取token2.带上获取到的token模拟提交下面是一个成功的例子目录结构│ form.php –需要模拟的表单│ getForm.php模拟提交程序│ post.php –表单验证程序│└─cookie – cookie存放目录getForm.php$cookie...
爬虫请求头遇见了X-CSRF-Token和c-token如何解决
qq_39138295的博客
05-06 2万+
如果遇见了,大多都是对token的加密。 今天遇见了这样一个网站: 想要获取验证码图片。抓包获取之后: requests.post()请求啊,但是请求之后一直在被网站拒绝,一直在报403.。 后来回头重新看,才发现请求头中是有X-CSRF-Token和c-token来识别身份的。 这个网站比较简单,这两个值是一样的。 然后就找这两值所在的界面嘛。 全局搜索之后,发现这个是明文传输...
PHP使用CURL实现对带有验证码的网站进行模拟登录的方法
10-25
主要介绍了PHP使用CURL实现对带有验证码的网站进行模拟登录的方法,可以帮助读者加深对CURL操作的理解与应用,需要的朋友可以参考下
php使用curl模拟浏览器表单上传文件或者图片的方法
01-20
前言 ...input type=”file”> 控件,form 表单需要设置 enctype=”multipart/form-data” 属性。比如: <body> ...form action=UploadFile.php method=post enctype=multipart/form-data>...总有
php curl模仿form表单提交图片或文件
01-13
php curl模仿form表单提交图片或文件 用的tp5做的例子
PHP基于curl模拟post提交json数据示例
10-18
主要介绍了PHP基于curl模拟post提交json数据操作,结合实例形式分析了php使用curl实现post方式提交json数据相关操作步骤与注意事项,代码简单实用,需要的朋友可以参考下
token值获取
09-10
获取微信公众平台的token值,进一步对微信公众号进行开发
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2649
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
HttpClient 调用远程服务,POST 请求 ,x-csrf-token验证失败,报CSRF token validation failed 问题解决
yinyulong123的博客
04-17 1万+
首先通过 HttpGet 来获取x-csrf-token,代码如下:HttpGet httpget = new HttpGet(url); httpget.setHeader("Content-Type", "application/x-www-form-urlencoded;charset=UTF-8"); httpget.setHeader("Authorization", code); ht...
接口对接的验证CURL以及Authorization:Token问题
qq_37899005的博客
11-03 4505
最近一段时间,对接接口有4,5家左右,每家的验证方式各有千秋,今天总结一下各个验证。 接口推送数据以下用Data代表推送的二维数组数据包,url代表推送线索的链接地址。 一·、 解: 最简单的文档,透漏出最难的问题。 正常的curl去传递接口,发现根本不对,提示我data缺失,明明传递了。 问题在这:key(****************)代表的是按照 k1=v1&k2=v2 拼接再加$key,对http请求header头部处理Content-Type:application/x-www-for
phptoken作用原理,csrf_token简单原理实现
weixin_33498283的博客
03-11 956
我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预防,原理可以用session产生一个token,因为:...
系统的讲解 - PHP WEB 安全防御
新亮笔记
03-04 281
常见漏洞看到上图的漏洞是不是特别熟悉,如果不及时进行防御,可能就会产生蝴蝶效应。如何进行防御?往下看,也许会有你想要的答案。SQL注入攻击定义SQL注入攻击是通过WEB表...
跨域post 及 使用token防止csrf 攻击
热门推荐
ymark
12-30 3万+
1.利用iframe进行跨域post提交 2.csrf的攻击和防御措施 3.使用token保护请求 4.关于webapp跨域提交的问题
php添加 csrf,PHP添加csrf token的注意点
weixin_39926014的博客
03-12 444
PHP添加csrf token的注意点首先不建议使用rand(),unique()来生成,如$token = md5(uniqid(rand(), TRUE));这是因为rand()函数产生的随机字符串是可以预测的。runiqid()和md5()增加的复杂度不高。产生tokenPHP 7session_start();if (empty($_SESSION['token'])) {$_SESSIO...
使用websocket实现php消息实时推送完整示例
小熊的专栏
10-18 2万+
php实现websocket实时消息推送 SocketService.php<?php /** * Created by xwx * Date: 2017/10/18 * Time: 14:33 */class SocketService { private $address = '0.0.0.0'; private $port = 8083; private $

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值