pikachu 之CSRF(跨站请求伪造)get和post型

CSRF(跨站请求伪造)

概念

跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种攻击方式,攻击者通过伪造用户的请求,欺骗受害者在不知情的情况下执行不想要的操作。这种攻击利用了用户已经在目标网站上通过身份验证的状态(如登录状态),从而以用户的身份发送恶意请求。

工作原理
  1. 用户在某个网站(比如银行网站)上登录并获得一个会话令牌(Cookie)。
  2. 用户在没有退出登录的情况下,访问了一个恶意网站。
  3. 恶意网站中包含了指向银行网站的恶意请求,比如转账请求。
  4. 用户的浏览器会自动带上银行网站的会话Cookie,从而完成转账操作。
  5. 银行网站因为接收到了合法的Cookie,会认为请求是合法用户发起的,从而执行操作。

get型

登录进去之后随便修改一下提交

然后就开始在网络中寻找我们提交的数据包

这个时候登录lili的的账户然后打开vince的那个url http://127.0.0.1/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=123123&add=henan&email=henan666%40pikachu.com&submit=submit(欺骗)
发现了什么

post型
首先登录一个账号然后修改它的信息

然后burp抓包
抓包后(这不好截图一截图页面就下去了toude 图)

然后就找到html把他保存下来

这个时候把html发给lucy让他打开

这是lucy现在的信息
打开html后

你一点你就会发现lucy信息变了为kevin

相关推荐
踩着两条虫2 分钟前
可视化 vs 终端 vs 云端:VTJ.PRO、Claude Code、Codex 三强横评
前端·vue.js·人工智能·低代码·架构
kyriewen4 分钟前
Godot 全面封杀 Vibe Coding,作为每天用 AI 写代码的人,我反而觉得这是件好事
前端·ai编程·claude
前进的搬砖er15 分钟前
4.three.js的几何体、纹理、光源、材质、uv属性 讲义
前端
前端毕业班29 分钟前
uni-app 小程序支持 teleport 了
前端·javascript·vue.js
梨子同志1 小时前
qiankun
前端
梨子同志1 小时前
Nginx
前端
梨子同志1 小时前
NestJS
前端
梨子同志2 小时前
Next.js
前端
谭光志2 小时前
工具塞满上下文窗口怎么办?深度拆解 AI Agent Tool Search 按需加载实现原理
前端·后端·ai编程
Hilaku2 小时前
前端架构师的克制:什么时候该坚决对新技术说不?
前端·javascript·程序员