#CSRF- 无检测防护 - 检测 & 生成 & 利用(那数据包怎么整 找相似源码自己搭建整)
检测:黑盒手工利用测试,白盒看代码检验(有无 token ,来源检验等)
生成: BurpSuite->Engagement tools->Generate CSRF Poc
利用:将文件防止自己的站点下,诱使受害者访问(或配合 XSS 触发访问)
#CSRF-Referer 同源 - 规则 & 上传 &XSS
https://blog.csdn.net/weixin_50464560/article/details/120581841
匹配对比要求点击进来的而不是直接访问
可以添加目标网站作为目录 然后·新建个html文件
逻辑判断隐患 就是数据包没有浏览器来源这行
严谨代码 PHP DEMO :
<?php
// 检测来源
function checkReferrer() {
expectedReferrer = "http://example.com"; // 期望的来源页面
if (!isset(_SERVER['HTTP_REFERER']) ||
_SERVER\['HTTP_REFERER'\] !== expectedReferrer) {
die(" 非法访问 ");
}
}
CSRF 请求伪造&Referer 同源&置空&配合 XSS&Token 值校验&复用删除
我最厉害。,。2025-04-23 12:13
相关推荐
这是个栗子3 分钟前
AI辅助编程(一) - ChatGPT2501_944448004 分钟前
Flutter for OpenHarmony衣橱管家App实战:预算管理实现Remember_9937 分钟前
Spring 核心原理深度解析:Bean 作用域、生命周期与 Spring Boot 自动配置笨蛋不要掉眼泪10 分钟前
Redis持久化解析:RDB和AOF的对比心.c12 分钟前
Vue3+Node.js实现文件上传分片上传和断点续传【详细教程】We་ct13 分钟前
LeetCode 48. 旋转图像:原地旋转最优解法黄筱筱筱筱筱筱筱23 分钟前
7.适合新手小白学习Python的异常处理(Exception)Yeats_Liao30 分钟前
微调决策树:何时使用Prompt Engineering,何时选择Fine-tuning?晚霞的不甘31 分钟前
Flutter for OpenHarmony 实现 iOS 风格科学计算器:从 UI 到表达式求值的完整解析陈希瑞34 分钟前
OpenClaw Chrome扩展使用教程 - 浏览器中继控制