CSRF 请求伪造&Referer 同源&置空&配合 XSS&Token 值校验&复用删除

#CSRF- 无检测防护 - 检测 & 生成 & 利用(那数据包怎么整 找相似源码自己搭建整)

检测:黑盒手工利用测试,白盒看代码检验(有无 token ,来源检验等)
生成: BurpSuite->Engagement tools->Generate CSRF Poc
利用:将文件防止自己的站点下,诱使受害者访问(或配合 XSS 触发访问)
#CSRF-Referer 同源 - 规则 & 上传 &XSS
https://blog.csdn.net/weixin_50464560/article/details/120581841

匹配对比要求点击进来的而不是直接访问
可以添加目标网站作为目录 然后·新建个html文件
逻辑判断隐患 就是数据包没有浏览器来源这行

严谨代码 PHP DEMO :
<?php
// 检测来源
function checkReferrer() {
expectedReferrer = "http://example.com"; // 期望的来源页面 if (!isset(_SERVER['HTTP_REFERER']) ||
_SERVER\['HTTP_REFERER'\] !== expectedReferrer) {
die(" 非法访问 ");
}
}

相关推荐
灵感__idea5 小时前
JavaScript高级程序设计(第5版):好的编程就是掌控感
前端·javascript·程序员
烛阴6 小时前
Mix
前端·webgl
代码续发7 小时前
前端组件梳理
前端
试图让你心动7 小时前
原生input添加删除图标类似vue里面移入显示删除[jquery]
前端·vue.js·jquery
陈不知代码8 小时前
uniapp创建vue3+ts+pinia+sass项目
前端·uni-app·sass
小王码农记8 小时前
sass中@mixin与 @include
前端·sass
陈琦鹏8 小时前
轻松管理 WebSocket 连接!easy-websocket-client
前端·vue.js·websocket
hui函数8 小时前
掌握JavaScript函数封装与作用域
前端·javascript
行板Andante9 小时前
前端设计中如何在鼠标悬浮时同步修改块内样式
前端
Carlos_sam9 小时前
Opnelayers:ol-wind之Field 类属性和方法详解
前端·javascript