40、WEB攻防——通用漏洞&CSRF&SSRF&代码审计&同源策略&加载函数

PT_silver2024-02-01 8:26

CSRF

如何对CSRF进行测试？尝试添加管理员为例

抓取添加管理员的用户名和密码的数据包，形成html文件，并放到公网服务器上。

登录后台的状态下访问刚刚那个文件，CSRF攻击完成。

CSRF绕过： 针对来源检测 ，可以：（1）伪造referer，需要在html代码数据包文件中固定http-referer；（2）尝试在网站任何可上传地方，上传数据包文件，取得当前同域名访问地址。

这个采集模块，服务器会根据你给的URL进行访问，说明存在SSRF。

按照之前的方法，找不到collection文件夹，这里是用到了框架。