CSRF简单介绍

lu-fe12024-08-30 5:08

欢迎交流

CSRF

条件:

  1. 需要请求伪造数据包
  2. 无过滤防护,有过滤防护能绕过
  3. 受害者需要触发(诱惑)

流程图

解决方案一:

检查Referer字段

解决方案二:

CSRFToken

发货100CMS示例(无过滤)

抓包添加

自动点击脚本要勾选上

去掉按钮

就会尝试去访问界面

这里我们用虚拟机搭建web服务,copy修改文件,不让username重复

使用虚拟机启动的demo.html网站直接添加了flowersse用户

467930)]

使用虚拟机启动的demo.html网站直接添加了flowersse用户

相关推荐
沉迷...6 分钟前
el-input限制输入只能是数字 限制input只能输入数字
开发语言·前端·elementui
xx240614 分钟前
date-picker组件的shortcuts为什么不能配置在vue的data的return中
前端·javascript·vue.js
古时的风筝22 分钟前
Caddy 比Nginx 还优秀吗
前端·后端·程序员
Anlici27 分钟前
无脑字节面基🥲
前端·面试·架构
古时的风筝31 分钟前
Cursor 建议搭配 CursorRules 食用
前端·后端·cursor
前端南玖31 分钟前
通过performance面板验证浏览器资源加载与渲染机制
前端·面试·浏览器
树深遇鹿36 分钟前
SSE(Server-Sent Events)的使用
前端·javascript·面试
代码哈士奇39 分钟前
记录一次无界微前端的简单使用
前端
用户20311966009643 分钟前
clipped的基本用法
前端
热门推荐
01西电B测-计算机网络综合实验(含验收问题)02KGG转MP3工具|非KGM文件|解密音频03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU05yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记06我决定放弃搞 Java 了07yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)08YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】09DeepSeek各版本说明与优缺点分析10Coze扣子平台完整体验和实践(附国内和国际版对比)