CSRF原理:
登陆一个站点,在登陆一个站点,第一个站点的信息被第二个站点更改。(浏览器在你不知情的情况下,偷偷的发送数据包【ajax异步传输】通过JS发送请求,然后获取信息)。
CSRF漏洞怎样做
1.存在CSRF漏洞(抓包判断是否有Token值,一般有就没CSRF)
2.黑客要自己做一个貌似合理的页面骗受害者来点击(与钓鱼网站不一样【钓鱼是需要受害者填写信息】)
3.确保受害者登录过这个网站,并且受害者cookie权限没有掉
例子
1.打开网站发现是CMS我们可以在本地自行搭建一个这样的网站。
![](https://i-blog.csdnimg.cn/blog_migrate/ff0b5e6485daf858e7b7013a3b39a47c.png)
2.我们登录管理员用户界面,创建一句话木马并上传,并且对此进行抓包判断。
![](https://i-blog.csdnimg.cn/blog_migrate/9e8e24e65a7ff92710838cd042922ea0.png)
![](https://i-blog.csdnimg.cn/blog_migrate/1bfc45159e8544cc3ad132d25ca98755.png)
3.判断得出没