#CSRF- 无检测防护 - 检测 & 生成 & 利用(那数据包怎么整 找相似源码自己搭建整)
检测:黑盒手工利用测试,白盒看代码检验(有无 token ,来源检验等)
生成: BurpSuite->Engagement tools->Generate CSRF Poc
利用:将文件防止自己的站点下,诱使受害者访问(或配合 XSS 触发访问)
#CSRF-Referer 同源 - 规则 & 上传 &XSS
https://blog.csdn.net/weixin_50464560/article/details/120581841
匹配对比要求点击进来的而不是直接访问
可以添加目标网站作为目录 然后·新建个html文件
逻辑判断隐患 就是数据包没有浏览器来源这行
严谨代码 PHP DEMO :
<?php
// 检测来源
function checkReferrer() {
expectedReferrer = "http://example.com"; // 期望的来源页面
if (!isset(_SERVER['HTTP_REFERER']) ||
_SERVER\['HTTP_REFERER'\] !== expectedReferrer) {
die(" 非法访问 ");
}
}
CSRF 请求伪造&Referer 同源&置空&配合 XSS&Token 值校验&复用删除
我最厉害。,。2025-04-23 12:13
相关推荐
左夕4 小时前
分不清apply,bind,call?看这篇文章就够了Zha0Zhun4 小时前
一个使用ViewBinding封装的Dialog兆子龙4 小时前
从微信小程序 data-id 到 React 列表性能优化:少用闭包,多用 data-*滕青山4 小时前
文本行过滤/筛选 在线工具核心JS实现时光不负努力4 小时前
编程常用模式集合恋猫de小郭4 小时前
Apple 的 ANE 被挖掘,AI 硬件公开,宣传的 38 TOPS 居然是"数字游戏"?小岛前端5 小时前
Node.js 宣布重大调整,运行十年的规则要改了!OpenTiny社区5 小时前
OpenTiny NEXT-SDK 重磅发布:四步把你的前端应用变成智能应用梦想CAD控件5 小时前
在线CAD开发包结构与功能说明张拭心5 小时前
春节后,有些公司明确要求 AI 经验了