第二轮学习笔记:CSRF跨站请求伪造漏洞
早上开心的事就是,睡醒的时候,看到你昨天晚上回个人,我来不及看到的内容。。。。html
---- 网易云热评web
csrf是借助用户的权限完成***,伪造一个***的连接,让用户在登陆状态下点击此连接,从而达到***的目的。xss直接盗取了用户的权限,利用获取的cookie登陆后台,在进行进一步操做。浏览器
1、漏洞可能存在的地方安全
一、站点的增删改查处;cookie
二、cookie的有效期较长的xss
2、漏洞利用ide
一、 http://192.168.1.129/dvwa/vulnerabilities/csrf/,该页面存在漏洞,输入原始密码,及要修改的密码工具
二、打开burpsuite,抓包,将找到修改密码的包发送到重发器web安全
三、右击,选择相关工具--》csrf poc生成测试
四、点击浏览器测试,复制生成的网址并在浏览器打开
五、退出DVWA,从新登陆,发现密码已经修改成123456,测试成功
六、点击上面复制HTML,而后新建一个html文件,把内容粘贴进去并从新设定密码为password,而后用浏览器打开该文件,点击按钮
七、直接跳转到修改密码的页面,登出验证,发现密码又被修改回来了。
禁止非法,后果自负
欢迎关注公众号:web安全工具库
相关文章
- 1. 第二轮学习笔记:CSRF跨站请求伪造漏洞
- 2. CSRF(跨站请求伪造)漏洞
- 3. 跨站请求伪造(CSRF)
- 4. csrf 跨站请求伪造
- 5. CSRF——跨站请求伪造
- 6. CSRF跨站请求伪造
- 7. 跨站请求伪造CSRF
- 8. 跨站请求伪造—CSRF
- 9. CSRF--跨站请求伪造
- 10. 跨站请求伪造(CSRF)
- 更多相关文章...
- • HTTP 请求方法 - HTTP 教程
- • 伪造ICMP请求包进行路由跟踪 - TCP/IP教程
- • Tomcat学习笔记(史上最全tomcat学习笔记)
- • Kotlin学习(二)基本类型
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 第二轮学习笔记:CSRF跨站请求伪造漏洞
- 2. CSRF(跨站请求伪造)漏洞
- 3. 跨站请求伪造(CSRF)
- 4. csrf 跨站请求伪造
- 5. CSRF——跨站请求伪造
- 6. CSRF跨站请求伪造
- 7. 跨站请求伪造CSRF
- 8. 跨站请求伪造—CSRF
- 9. CSRF--跨站请求伪造
- 10. 跨站请求伪造(CSRF)