#CSRF- 无检测防护 - 检测 & 生成 & 利用(那数据包怎么整 找相似源码自己搭建整)
检测:黑盒手工利用测试,白盒看代码检验(有无 token ,来源检验等)
生成: BurpSuite->Engagement tools->Generate CSRF Poc
利用:将文件防止自己的站点下,诱使受害者访问(或配合 XSS 触发访问)
#CSRF-Referer 同源 - 规则 & 上传 &XSS
https://blog.csdn.net/weixin_50464560/article/details/120581841
匹配对比要求点击进来的而不是直接访问
可以添加目标网站作为目录 然后·新建个html文件
逻辑判断隐患 就是数据包没有浏览器来源这行
严谨代码 PHP DEMO :
<?php
// 检测来源
function checkReferrer() {
expectedReferrer = "http://example.com"; // 期望的来源页面
if (!isset(_SERVER'HTTP_REFERER') ||
_SERVER\['HTTP_REFERER'\] !== expectedReferrer) {
die(" 非法访问 ");
}
}
CSRF 请求伪造&Referer 同源&置空&配合 XSS&Token 值校验&复用删除
我最厉害。,。2025-04-23 12:13
相关推荐
小小小小宇9 分钟前
前端 WebRTC 全解析与应用华玥12 分钟前
优化滚动列表,使用虚拟滚动小小小小宇12 分钟前
前端 WebAssembly 全解析与应用huangdong_20 分钟前
京东商品图片视频批量下载与m3u8视频合并技术完整实现方案尽兴-24 分钟前
4.1 智能体核心:Agent、Sub-Agent、ReAct、规划执行小小小小宇37 分钟前
前端 Shadow DOM 全解析与应用万物更新_39 分钟前
vue框架小小小小宇42 分钟前
前端 Web Workers 和 Service Workers 全解析与应用陆枫Larry1 小时前
浏览器的 Reflow 和 Repaint 是什么?为什么要尽量避免它们?孜孜不倦不忘初心1 小时前
mac安装nvm及问题记录