码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • postswigger 靶场(CSRF)攻略-- 1.没有防御措施的 CSRF 漏洞


     靶场地址:

    What is CSRF (Cross-site request forgery)? Tutorial & Examples | Web Security Academy (portswigger.net)icon-default.png?t=N7T8https://portswigger.net/web-security/csrf

    没有防御措施的 CSRF 漏洞

    题目中已告知易受攻击的是电子邮件的更改功能,而目标是利用 csrf 漏洞更改受害者的电子邮件地址,最后给出了登录凭据:wiener:peter。

    1).登录 wiener 用户

            首先做的事是根据给定的登录凭据进行登录,点击 My account 登录,登录后就到了一个更改邮箱的界面。

    2).burp 抓包

            尝试输入test@test.ca,点击 update email,通过 burp 抓包,发送到 repeater 后关闭拦截,此时回到更改邮箱的界面发现电子邮件已被更改为test@test.ca 。

    3).进行 csrf 攻击

            因为 burp 有自动生成脚本的功能,右键 Generate CSRF PoC

            进入界面后在选项一栏把自动提交脚本勾选上,这时候 burp 会自动提交表单不需要自己点击提交了。

            点击 regenerate 重新生成发现多了document.forms[0].submit();。

    4).进行 csrf 攻击

            把代码中的 emali 修改为testcsrf1@test.ca以便测试之用,接着 copyhtml,

            转到漏洞利用服务器,

            在 body 中放入 html,store 保存,点击 View exploit 查看漏洞,最后 Deliver to victim,传递给受害者即可成功

  • 相关阅读:
    同步 -- 自旋锁
    Celery定时任务与异步任务
    vue3中路由hash与History的设置
    懒人福音:Java版Webhook机器人,一键开启‘躺赢’模式
    Triton推理服务器吞吐量测试
    编译ncurses-5.9出错
    Kafka入门
    高级深入--day33
    maven学习:maven 的入门
    仅仅只是用脱虚向实或者脱实向虚来诠释和表达产业互联网是不全面的
  • 原文地址:https://blog.csdn.net/wj33333/article/details/134380679
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号