CSRF:跨站请求伪造原理与实例

新手胡2024-07-16 8:07

原理:

1\] 现有a和b两个网站,其中a网站为受害者常用网站,网站内存在csrf漏洞。b网站为攻击者网站,存在恶意代码 \[2\] 当受害者登录a网站并保存了该网站的cookie,在未退出登录的情况下,点击攻击者发送的链接,跳转到攻击者所创建的网站 \[3\] 进入攻击者网站时,触发网站中的恶意代码,使攻击者,伪装成受害者所在网站的账户,进行操作 ### GET类型实例\[pikachu\]: 实现更改用户信息 #### 1.登录lili用户 ![](https://i-blog.csdnimg.cn/direct/70c8f63efe1d40c1a0e1a4c19a7d863f.png) #### 2.编辑用户信息并提交 ![](https://i-blog.csdnimg.cn/direct/6a15c220faae4232a023d155027fd26d.png) #### 3.由于提交过后会直接跳转,此处使用bp,抓包查看提交参数:在提交时断网也可在url中看见 ![](https://i-blog.csdnimg.cn/direct/cfa792f006cf4fa3926d1268e61c9c1f.png) #### 4.复制接口地址,并拼接url > http://121.40.54.224:81/pikachu-master/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=lili\&phonenum=18656565545\&add=10ss\&email=lili%40pikachu.com\&submit=submit #### 5.编写前端脚本 > 使用img标签,使加载时携带指定参数向接口发送请求 ```html Document ``` #### 6.访问攻击者网站,实现攻击 \<1.用户点击链接 \<2.进入网站,触发图片加载,向接口发送请求,实现修改数据 用户正常使用与攻击者网页发送的请求,进行cookie的比较,其cookie值相同 ![](https://i-blog.csdnimg.cn/direct/a1f02e44ae324ce1a5b35ff3bc50a835.png)

相关推荐
Andya_net5 小时前
网络安全 | 深入理解SQL注入的原理和防范
sql·安全·web安全
谢尔登5 小时前
【React】React组件的渲染过程分为哪几个阶段?
前端·javascript·react.js
MediaTea5 小时前
Python 第三方库:Flask(轻量级 Web 框架)
开发语言·前端·后端·python·flask
5***o5005 小时前
前端构建工具缓存清理,解决依赖问题
前端·缓存
lcc1875 小时前
Vue Vue与VueComponent的关系
前端·vue.js
无敌最俊朗@5 小时前
Vue 3 概况
前端·javascript·vue.js
摆烂工程师6 小时前
今天 Cloudflare 全球事故,连 GPT 和你的网站都一起“掉线”了
前端·后端·程序员
拉不动的猪6 小时前
一文搞懂:localhost和局域网 IP 的核心区别与使用场景
前端·javascript·面试
亿元程序员6 小时前
你支持游戏内显示电量、信号或时间吗?
前端
T***16076 小时前
免费的Web安全漏洞利用,Metasploit教程
安全·web安全
热门推荐
01今天 Cloudflare 全球事故,连 GPT 和你的网站都一起“掉线”了02GitHub 镜像站点03UV安装并设置国内源04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05BongoCat - 跨平台键盘猫动画工具06Linux下V2Ray安装配置指南07Valdi:Snapchat 开源的新一代跨平台 UI 框架08Labelme从安装到标注:零基础完整指南092025 最新教程:注册并切换到美区 Apple ID10Visual Studio Code设置个性化背景教程