#CSRF- 无检测防护 - 检测 & 生成 & 利用(那数据包怎么整 找相似源码自己搭建整)
检测:黑盒手工利用测试,白盒看代码检验(有无 token ,来源检验等)
生成: BurpSuite->Engagement tools->Generate CSRF Poc
利用:将文件防止自己的站点下,诱使受害者访问(或配合 XSS 触发访问)
#CSRF-Referer 同源 - 规则 & 上传 &XSS
https://blog.csdn.net/weixin_50464560/article/details/120581841
匹配对比要求点击进来的而不是直接访问
可以添加目标网站作为目录 然后·新建个html文件
逻辑判断隐患 就是数据包没有浏览器来源这行
严谨代码 PHP DEMO :
<?php
// 检测来源
function checkReferrer() {
expectedReferrer = "http://example.com"; // 期望的来源页面
if (!isset(_SERVER['HTTP_REFERER']) ||
_SERVER\['HTTP_REFERER'\] !== expectedReferrer) {
die(" 非法访问 ");
}
}
CSRF 请求伪造&Referer 同源&置空&配合 XSS&Token 值校验&复用删除
我最厉害。,。2025-04-23 12:13
相关推荐
majingming1237 小时前
FUNCTIONA_nanda8 小时前
Vue项目升级SuperEugene8 小时前
Axios 接口请求规范实战:请求参数 / 响应处理 / 异常兜底,避坑中后台 API 调用混乱|API 与异步请求规范篇abigale039 小时前
【浏览器 API / 网络请求 / 文件处理】前端文件上传全流程:从基础上传到断点续传Setsuna_F_Seiei9 小时前
AI 对话应用之页面滚动交互的实现新缸中之脑9 小时前
追踪来自Agent的Web 流量wefly201710 小时前
从使用到原理,深度解析m3u8live.cn—— 基于 HLS.js 的 M3U8 在线播放器实现英俊潇洒美少年10 小时前
vue如何实现react useDeferredvalue和useTransition的效果kyriewen1111 小时前
给浏览器画个圈:CSS contain 如何让页面从“卡成PPT”变“丝滑如德芙”英俊潇洒美少年11 小时前
react19和vue3的优缺点 对比