
欢迎交流
CSRF
条件:
- 需要请求伪造数据包
- 无过滤防护,有过滤防护能绕过
- 受害者需要触发(诱惑)
流程图

解决方案一:
检查Referer字段

解决方案二:
CSRFToken

发货100CMS示例(无过滤)

抓包添加

自动点击脚本要勾选上

去掉按钮

就会尝试去访问界面

这里我们用虚拟机搭建web服务,copy修改文件,不让username重复

使用虚拟机启动的demo.html网站直接添加了flowersse用户
467930)]
使用虚拟机启动的demo.html网站直接添加了flowersse用户