#CSRF- 无检测防护 - 检测 & 生成 & 利用(那数据包怎么整 找相似源码自己搭建整)
检测:黑盒手工利用测试,白盒看代码检验(有无 token ,来源检验等)
生成: BurpSuite->Engagement tools->Generate CSRF Poc
利用:将文件防止自己的站点下,诱使受害者访问(或配合 XSS 触发访问)
#CSRF-Referer 同源 - 规则 & 上传 &XSS
https://blog.csdn.net/weixin_50464560/article/details/120581841
匹配对比要求点击进来的而不是直接访问
可以添加目标网站作为目录 然后·新建个html文件
逻辑判断隐患 就是数据包没有浏览器来源这行
严谨代码 PHP DEMO :
<?php
// 检测来源
function checkReferrer() {
expectedReferrer = "http://example.com"; // 期望的来源页面
if (!isset(_SERVER['HTTP_REFERER']) ||
_SERVER\['HTTP_REFERER'\] !== expectedReferrer) {
die(" 非法访问 ");
}
}
CSRF 请求伪造&Referer 同源&置空&配合 XSS&Token 值校验&复用删除
我最厉害。,。2025-04-23 12:13
相关推荐
流浪法师1211 分钟前
MyPhishing-Web:AI 驱动的钓鱼邮件检测可视化平台写代码的jiang16 分钟前
【无标题】实战:Vue3 + Element Plus 实现树形选择器全量预加载与层级控制晚烛18 分钟前
实战前瞻:构建高可靠、低延迟的 Flutter + OpenHarmony 智慧交通出行平台WHOVENLY42 分钟前
【javaScript】- 作用域[[scope]]来杯三花豆奶1 小时前
Vue3 Pinia 从入门到精通卡布叻_星星1 小时前
Docker之Nginx前端部署(Windows版-x86_64(AMD64)-离线)LYFlied1 小时前
【算法解题模板】-解二叉树相关算法题的技巧weibkreuz1 小时前
React的基本使用@2于是我说1 小时前
前端JavaScript 项目中 获取当前页面滚动位置GISer_Jing1 小时前
AI在前端开发&营销领域应用