CSRF:跨站请求伪造原理与实例

原理:

1\] 现有a和b两个网站,其中a网站为受害者常用网站,网站内存在csrf漏洞。b网站为攻击者网站,存在恶意代码 \[2\] 当受害者登录a网站并保存了该网站的cookie,在未退出登录的情况下,点击攻击者发送的链接,跳转到攻击者所创建的网站 \[3\] 进入攻击者网站时,触发网站中的恶意代码,使攻击者,伪装成受害者所在网站的账户,进行操作 ### GET类型实例\[pikachu\]: 实现更改用户信息 #### 1.登录lili用户 ![](https://i-blog.csdnimg.cn/direct/70c8f63efe1d40c1a0e1a4c19a7d863f.png) #### 2.编辑用户信息并提交 ![](https://i-blog.csdnimg.cn/direct/6a15c220faae4232a023d155027fd26d.png) #### 3.由于提交过后会直接跳转,此处使用bp,抓包查看提交参数:在提交时断网也可在url中看见 ![](https://i-blog.csdnimg.cn/direct/cfa792f006cf4fa3926d1268e61c9c1f.png) #### 4.复制接口地址,并拼接url > http://121.40.54.224:81/pikachu-master/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=lili\&phonenum=18656565545\&add=10ss\&email=lili%40pikachu.com\&submit=submit #### 5.编写前端脚本 > 使用img标签,使加载时携带指定参数向接口发送请求 ```html Document ``` #### 6.访问攻击者网站,实现攻击 \<1.用户点击链接 \<2.进入网站,触发图片加载,向接口发送请求,实现修改数据 用户正常使用与攻击者网页发送的请求,进行cookie的比较,其cookie值相同 ![](https://i-blog.csdnimg.cn/direct/a1f02e44ae324ce1a5b35ff3bc50a835.png)

相关推荐
lingggggaaaa19 分钟前
小迪安全v2023学习笔记(一百三十四讲)—— Windows权限提升篇&数据库篇&MySQL&MSSQL&Oracle&自动化项目
java·数据库·windows·笔记·学习·安全·网络安全
小光学长20 分钟前
基于Vue的保护动物信息管理系统r7zl6b88 (程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
前端·数据库·vue.js
huangql52040 分钟前
截图功能技术详解:从原理到实现的完整指南
前端·html5
长空任鸟飞_阿康1 小时前
Node.js 核心模块详解:fs 模块原理与应用
前端·人工智能·ai·node.js
这儿有一堆花1 小时前
网站链接重定向原理
前端
cecyci1 小时前
如何实现AI聊天机器人的打字机效果?
前端·javascript
IT_陈寒1 小时前
Vite 5个隐藏技巧让你的项目构建速度提升50%,第3个太香了!
前端·人工智能·后端
詩句☾⋆᭄南笙2 小时前
HTML的盒子模型
前端·html·盒子模型
落言2 小时前
AI 时代的工程师:懂,却非懂的时代
前端·程序员·架构
一枚攻城狮2 小时前
前端知识点大汇总
前端