欢迎交流
CSRF
条件:
- 需要请求伪造数据包
- 无过滤防护,有过滤防护能绕过
- 受害者需要触发(诱惑)
流程图
解决方案一:
检查Referer字段
解决方案二:
CSRFToken
发货100CMS示例(无过滤)
抓包添加
自动点击脚本要勾选上
去掉按钮
就会尝试去访问界面
这里我们用虚拟机搭建web服务,copy修改文件,不让username重复
使用虚拟机启动的demo.html网站直接添加了flowersse用户
467930)]
使用虚拟机启动的demo.html网站直接添加了flowersse用户