CSRF 请求伪造&Referer 同源&置空&配合 XSS&Token 值校验&复用删除

#CSRF- 无检测防护 - 检测 & 生成 & 利用(那数据包怎么整 找相似源码自己搭建整)

检测:黑盒手工利用测试,白盒看代码检验(有无 token ,来源检验等)
生成: BurpSuite->Engagement tools->Generate CSRF Poc
利用:将文件防止自己的站点下,诱使受害者访问(或配合 XSS 触发访问)
#CSRF-Referer 同源 - 规则 & 上传 &XSS
https://blog.csdn.net/weixin_50464560/article/details/120581841

匹配对比要求点击进来的而不是直接访问
可以添加目标网站作为目录 然后·新建个html文件
逻辑判断隐患 就是数据包没有浏览器来源这行

严谨代码 PHP DEMO :
<?php
// 检测来源
function checkReferrer() {
expectedReferrer = "http://example.com"; // 期望的来源页面 if (!isset(_SERVER'HTTP_REFERER') ||
_SERVER\['HTTP_REFERER'\] !== expectedReferrer) {
die(" 非法访问 ");
}
}

相关推荐
前端之虎陈随易2 小时前
编程语言级别的Skill市场,AI Agent 的未来形态
前端·vue.js·人工智能·typescript·node.js
一路向北he2 小时前
字节钢铁军团--“提供情境,而非控制”
java·开发语言·前端
kyriewen3 小时前
豆包和千问同时关了智能体,我用它们搭的 3 个自动化全废了——迁移方案整理
前端·javascript·ai编程
前端一小卒3 小时前
我用 TypeScript 从零手写了一个 Claude Code,然后发现它的核心只有 30 行
前端·agent
大圣编程5 小时前
Python中continue语句的用法是什么?
开发语言·前端·python
yuhaiqiang5 小时前
随手 vibecoding 的浏览器插件已经 6000 多次下载,聊聊他的产品设计
前端·后端·面试
之歆5 小时前
Vue商品详情与放大镜组件
前端·javascript·vue.js
再吃一根胡萝卜6 小时前
如何把小米 MiMo 接入 CodeBuddy,打造私有 Agent
前端
负责的蛋挞7 小时前
异步HttpModule的实现方式
java·服务器·前端