【pikachu csrf】

cxrf

个人理解

当被攻击用户登陆访问网站时,在保持登陆状态时点击小黑子(黑客)搭建的恶意链接而导致用户受到攻击。

举个例子

我去攻击网站,但是我找不到漏洞,这个时候我注册一个账号,发现存在cxrf漏洞,我进入登录页面获取信息然后构造一个链接,此链接的功能是修改密码。我将此链接发送给目标,当目标在登陆网页时,并保持登陆状态,点开了我的链接此时他的密码就已经修改了,我就可以登陆她的账号。如果这个人时网站管理人拥有管理员权限,那我相当于控制了这个网站。

get

在此页面可以发现url栏已经将账号密码回显出来了没有什么过滤。

抓个包看看,在burp中将账号密码修改然后放包发现可以修改成功。

在攻击他人时我们无法抓取别的的包,但是我们可以吧刚修改密码的链接拷贝下来,想方设法的发给对方,当对方恰好在访问此网站时,又恰好点击了这个链接就可以完成修改密码。以自己为例,在登陆页面的url拼接修改密码的链接,发现刚好可以修改成功密码和其它信息。

POST

登陆页面保持登陆状态

抓包然后如图操作在此页面修改然后点击红圈copy这个链接在保持登陆状态时新开一个网页访问此链接就可以修改密码等信息

相关推荐
Piko61440 分钟前
锐捷交换机 DHCP Server部署
运维·网络·笔记
取地址符2 小时前
Rust学习笔记(基于Rustlings)(2):数据结构与集合
笔记·学习·rust
A.零点2 小时前
期末复习,408考研数据结构:第一章绪论完整知识梳理与真题深度解读
c语言·数据结构·笔记·考研
茯苓gao3 小时前
嵌入式开发笔记:工业机器人通信协议深度解析——从现场总线到工业以太网
笔记·嵌入式硬件·学习·机器人·信息与通信
取地址符3 小时前
Rust语法学习 (基于Rustlings)(1):基础语法
经验分享·笔记·学习·rust
不会调制解调的猫3 小时前
笔记 | 什么是 rp_filter(反向路径过滤)?
服务器·网络·笔记
星马梦缘3 小时前
ACM CSP竞赛笔记(二十三)——线段树 与 树状数组
笔记·线段树·acm·树状数组·csp
北鸟南游4 小时前
学习-claude code 工程化实战的笔记-极客时间
笔记·学习·ai编程
解局易否结局4 小时前
鸿蒙PC应用开发:窗口管理 + 鼠标键盘交互 + 文件对话框
笔记·华为·计算机外设·交互·harmonyos
三品吉他手会点灯4 小时前
嵌入式机器学习 - 学习笔记1.0.2 - 学习路线导览:从机器学习基础到 TinyML应用
人工智能·笔记·嵌入式硬件·学习·机器学习