#CSRF- 无检测防护 - 检测 & 生成 & 利用(那数据包怎么整 找相似源码自己搭建整)
检测:黑盒手工利用测试,白盒看代码检验(有无 token ,来源检验等)
生成: BurpSuite->Engagement tools->Generate CSRF Poc
利用:将文件防止自己的站点下,诱使受害者访问(或配合 XSS 触发访问)
#CSRF-Referer 同源 - 规则 & 上传 &XSS
https://blog.csdn.net/weixin_50464560/article/details/120581841
匹配对比要求点击进来的而不是直接访问
可以添加目标网站作为目录 然后·新建个html文件
逻辑判断隐患 就是数据包没有浏览器来源这行
严谨代码 PHP DEMO :
<?php
// 检测来源
function checkReferrer() {
expectedReferrer = "http://example.com"; // 期望的来源页面
if (!isset(_SERVER['HTTP_REFERER']) ||
_SERVER\['HTTP_REFERER'\] !== expectedReferrer) {
die(" 非法访问 ");
}
}
CSRF 请求伪造&Referer 同源&置空&配合 XSS&Token 值校验&复用删除
我最厉害。,。2025-04-23 12:13
相关推荐
漂流瓶jz29 分钟前
总结CSS组件化演进之路:命名规范/CSS Modules/CSS in JS/原子化CSS踩着两条虫1 小时前
「AI + 低代码」的可视化设计器Jagger_1 小时前
项目上线忙碌结束之后,为什么总想找点事做?GalenZhang8882 小时前
OpenClaw 配置多个飞书账号实战指南萌新小码农3 小时前
python装饰器threelab3 小时前
Three.js 初中数学函数可视化 | 三维可视化 / AI 提示词爱学习的程序媛3 小时前
浏览器工作原理全景解析我是若尘5 小时前
用 Git Worktree 同时开多个需求,不用来回 stashIT_陈寒5 小时前
Vue的v-for为什么不加key也能工作?我差点翻车小碗羊肉5 小时前
【JavaWeb | 第十二篇】项目实战——登录功能