CSRF 请求伪造&Referer 同源&置空&配合 XSS&Token 值校验&复用删除

#CSRF- 无检测防护 - 检测 & 生成 & 利用(那数据包怎么整 找相似源码自己搭建整)

检测:黑盒手工利用测试,白盒看代码检验(有无 token ,来源检验等)
生成: BurpSuite->Engagement tools->Generate CSRF Poc
利用:将文件防止自己的站点下,诱使受害者访问(或配合 XSS 触发访问)
#CSRF-Referer 同源 - 规则 & 上传 &XSS
https://blog.csdn.net/weixin_50464560/article/details/120581841

匹配对比要求点击进来的而不是直接访问
可以添加目标网站作为目录 然后·新建个html文件
逻辑判断隐患 就是数据包没有浏览器来源这行

严谨代码 PHP DEMO :
<?php
// 检测来源
function checkReferrer() {
expectedReferrer = "http://example.com"; // 期望的来源页面 if (!isset(_SERVER['HTTP_REFERER']) ||
_SERVER\['HTTP_REFERER'\] !== expectedReferrer) {
die(" 非法访问 ");
}
}

相关推荐
拜无忧2 小时前
【教程】Vue 3 项目架构终极指南:一份面向新手的、高性能的实战教程
前端·vue.js
星海穿梭者3 小时前
SQL SERVER 查看锁表
java·服务器·前端
一枚前端小能手3 小时前
「周更第5期」实用JS库推荐:RxJS
前端·javascript·rxjs
影i3 小时前
关于浏览器 Cookie 共享机制的学习与梳理
前端
文心快码BaiduComate3 小时前
文心快码已接入GLM-4.6模型
前端·后端·设计模式
RoyLin3 小时前
C++ 原生扩展、node-gyp 与 CMake.js
前端·后端·node.js
我是天龙_绍3 小时前
二进制散列值 搞 权限组合,记口诀:| 有1则1 ,&同1则1
前端
江城开朗的豌豆3 小时前
拆解微信小程序的“积木盒子”:这些原生组件你都玩明白了吗?
前端·javascript·微信小程序
爱吃甜品的糯米团子3 小时前
CSS Grid 网格布局完整指南:从容器到项目,实战详解
前端·css
AlbertZein3 小时前
新手上手:Rokid 移动端 + 眼镜端最小实践
前端