CSRF简单介绍

lu-fe12024-08-30 5:08

欢迎交流

CSRF

条件:

  1. 需要请求伪造数据包
  2. 无过滤防护,有过滤防护能绕过
  3. 受害者需要触发(诱惑)

流程图

解决方案一:

检查Referer字段

解决方案二:

CSRFToken

发货100CMS示例(无过滤)

抓包添加

自动点击脚本要勾选上

去掉按钮

就会尝试去访问界面

这里我们用虚拟机搭建web服务,copy修改文件,不让username重复

使用虚拟机启动的demo.html网站直接添加了flowersse用户

467930)]

使用虚拟机启动的demo.html网站直接添加了flowersse用户

相关推荐
zhougl99622 分钟前
html处理Base文件流
linux·前端·html
花花鱼26 分钟前
node-modules-inspector 可视化node_modules
前端·javascript·vue.js
HBR666_29 分钟前
marked库(高效将 Markdown 转换为 HTML 的利器)
前端·markdown
careybobo2 小时前
海康摄像头通过Web插件进行预览播放和控制
前端
杉之3 小时前
常见前端GET请求以及对应的Spring后端接收接口写法
java·前端·后端·spring·vue
喝拿铁写前端3 小时前
字段聚类,到底有什么用?——从系统混乱到结构认知的第一步
前端
再学一点就睡3 小时前
大文件上传之切片上传以及开发全流程之前端篇
前端·javascript
木木黄木木5 小时前
html5炫酷图片悬停效果实现详解
前端·html·html5
请来次降维打击!!!5 小时前
优选算法系列(5.位运算)
java·前端·c++·算法
難釋懷6 小时前
JavaScript基础-移动端常见特效
开发语言·前端·javascript
热门推荐
01我决定放弃搞 Java 了02DeepSeek各版本说明与优缺点分析03如何在WPS和Word/Excel中直接使用DeepSeek功能04RAG 实践- Ollama+RagFlow 部署本地知识库05本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07如何本地部署AI智能体平台,带你手搓一个AI Agent08苍穹外卖面试总结09DeepSeek RAGFlow构建本地知识库系统10【芯片封测学习专栏 -- D2D 和 C2C 之间的区别】