CSRF(Cross-site request forgery) • 跨站点请求伪造-DVWA

最新推荐文章于 2025-08-16 06:13:53 发布
原创 最新推荐文章于 2025-08-16 06:13:53 发布 · 290 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #前端 #网络安全

@ZZHow(ZZHow1024)

一、Low 级(基本没有做防护或者只是最简单的防护)

含义:伪造请求使在站外执行只能在站内进行的操作!

思路:伪造发出一个请求。

实操:

1.先正常修改一次密码,记录URL栏的变化

  • 修改前的URL —> http://xxx.xxx.xxx.xxx:8000/vulnerabilities/csrf/(隐去了靶场的IP地址)
  • 填入“New password”和“Confirm new password”。(这里以123为例)
  • 点击“Change”按钮

1

  • 修改后的URL —> http://xxx.xxx.xxx.xxx:8000/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#(隐去了靶场的IP地址)

2.对比分析URL的变化

  • 发现修改后的URL多了一段
    • “?password_new=123&password_conf=123&Change=Change#”
  • 对应了简单分析可知
    • password_new=123,123就是填入的“New password”
    • password_conf=123,123就是填入的“Confirm new password”

3.伪造一个修改密码的请求

  • 例如修改密码为789

  • 修改URL:

    —> http://xxx.xxx.xxx.xxx:8000/vulnerabilities/csrf/?password_new=789&password_conf=789&Change=Change#(隐去了靶场的IP地址)

  • 看到出现了Password Changed.

1

伪造成功!

重要提醒:操作完成后记得改回原密码!!!

CSRFCross-site request forgery跨站请求伪造
weixin_59496235的博客
03-26 1103
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
CSRF(Cross-site request forgery)
fencecat的博客
07-20 990
CSRF是一个web安全漏洞,该漏洞通过引诱用户来执行非预期的操作。该漏洞使得攻击者能够绕过同源策略,同源策略是一种用来阻止不同网站相互干扰的一种技术。 CSR跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行击,用户一旦击,整个攻击也就完成了。所以CSRF攻击也被称为”one click"攻击。
浅谈CSRFCross-site request forgery跨站请求伪造(写的非常好)
ball4022的博客
08-23 228
# 浅谈CSRFCross-site request forgery跨站请求伪造(写的非常好) 一CSRF是什么 CSRFCross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,...
CSRF(Cross-Site Request Forgery) 跨站请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1858
WEB安全中CSRF漏洞攻击最为全面的知识总结,直击核心知识,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
DVWA —— Cross Site Request Forgery (CSRF) 跨站请求伪造
YouTheFreedom的博客
05-22 890
跨站请求伪造(英语:Cross-siterequest forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF ,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。因为是模仿受害者击该连接实现密码修改,所以需要击该链接提交表单时也需要受害者在网站上处于登陆状态,而且登陆后浏览器中保存了验证身份的 cookie 等信息,所以登陆网站的浏览器也要与之前相同,否则身份验证不成功,就无法成功修改用户密码了。
DVWA CSRFCross-site request forgery跨站请求伪造)全等级
柠檬i的博客
12-19 881
目录:三、CSRFCross-site request forgery跨站请求伪造)1.Low2.Medium3.High4.Impossible 三、CSRFCross-site request forgery跨站请求伪造) 本章使用的浏览器是Firefox63,由于浏览器和版本不同,复现结果可能不同 1.Low 这是一个修改用户密码的界面,查看url可以发现,修改新密码直接通过url传参给服务器 192.168.171.10/vulnerabilities/csrf/?password_new=
web安全学习笔记(九)CSRFCross-Site Request Forgery跨站请求伪造
qycc3391的博客
03-10 640
0.前言 CRSF是建立在会话之上的,听起来非常像XSS跨站脚本攻击,但是实际上攻击方式完全不同。之前在写XSS时,提到很多网站会使用cookie来保存用户登录的信息,例如昨天晚上我使用完CSDN后,关闭浏览器,关闭电脑,今天打开CSDN时,虽然没有填写账户和密码,也会自动登陆。 那么CRSF可以做到什么呢?比如A登陆了网上银行,正在准备进行一个操作,然而有攻击者给他发送了一个链接,当A击这条U...
DVWA系列---CSRFCross Site Request Forgery跨站请求伪造
野原新之助
01-26 746
文章目录一、前言CSRF二、Low级别1、演示2、源码三、Medium级别1、演示2、源码四、High级别1、演示 一、前言 CSRF CSRFCross Site Request Forgery)名为“跨站请求伪造”,意思是黑客伪装成用户的身份,利用目标服务器对用户的信任(即用户已经登入,且存有Cookie)进行数据请求或数据更改,达到攻击的目的。 CSRF形成的原因: 1、用户在登陆了网站后...
[漏洞检查项]Cross Site Request Forgery|CSRF|跨站请求伪造
m0_46101480的博客
11-06 135
跨站请求伪造Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其身份验证后的Web应用程序上执行非本意操作的攻击,攻击的重在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。攻击者可以伪造当前已登录用户的身份访问正常的网站,,执行非本意的操作。正常的网站,没有来源请求进行严格和过滤,导致攻击者可以伪造正常用户的请求,到达攻击目的。在特殊场景下,客户端向服务器发起更改状态的请求,容易产生CSRF漏洞。.DVWA重置当前密码。
DVWA关卡3:Cross Site Request Forgery (CSRF)跨站请求伪造
m0_54899775的博客
12-06 791
DVWA关卡3:Cross Site Request Forgery (CSRF)跨站请求伪造跨站请求伪造
DVWA Cross Site Request Forgery (CSRF)
Braveyjc的博客
10-23 355
Token会在一次与服务器核对后失效那我们只能把第一次抓到的包扔掉掉把token加在我们伪造请求用。这里发现他对referer字段进行了检测那我们伪造一个就好了。最后学习一下immpossible里是用什么防御csrf的。和上一个一样那我们试一下和low一样的伪造请求看一下效果。把我们请求的数据包拦下来然后加一个referer字段。可以看到是用了一个非常关键的原本的密码校验。我们伪造一个请求把密码改成2试一下。可以看到这里的对token做了校验。没有成功我们看一下他的源代码。发现是不行的说明有同源策略。
打靶日常-CSRF
m0_74042991的博客
08-14 162
csrf的小皮与dvwa的练习题,后序更新
CSRF 攻击
wa_ka_ka的博客
08-12 958
CSRFCross-Site Request Forgery跨站请求伪造)是一种常见的Web安全攻击手段。攻击者通过诱骗用户在已登录的Web应用中执行非本意操作,从而以用户身份执行恶意请求(如转账、改密码等)。fill:#333;1. 正常登录(获得Cookie)2. 访问恶意页面3. 自动发送伪造请求(携带用户Cookie)4. 执行恶意操作。
electron进程间通信- 从渲染进程到主进程
唐璜Taro的博客
08-13 1016
本文介绍了Electron中的IPC进程间通信机制,重解析了从渲染进程到主进程的单向通信实现方式。这种设计既保证了功能实现,又遵循了Electron的安全通信原则,是开发桌面应用的常用模式。
基于SpringBoot校园管理系统
2501_90968670的博客
08-13 1194
校园管理系统是一个基于Spring Boot + Vue.js的全栈应用,专注于高校内部的多角色协作管理。系统实现了院校管理、单位管理、用户管理、通知推送、投票管理等功能模块,满足管理员、院校管理员、普通用户三类角色的不同操作需求。核心目标是提升校园管理效率,实现通知精准推送与数据可视化统计。
后端Web实战-MySQL数据库
sjdjjdkd的博客
08-13 965
MySQL官方提供了两个版本:商业版本(MySQL Enterprise Edition)该版本是收费的,我们可以使用30天。官方会提供对应的技术支持。社区版本(MySQL Community Server)该版本是免费的,但是MySQL不会提供任何的技术支持。本课程,采用的是MySQL的社区版本(8.0.34)1.SQL语句可以单行或者多行书写,以分号结尾。2、SQL语句可以使用空格/缩进来增强语句的可读性。3、MySQL数据库的SQL语句不区分大小写。
HTML 框架:构建网页布局的基石
最新发布
froginwe11的博客
08-16 138
HTML 框架是一种网页布局技术,它允许开发者将网页划分为多个区域,并对这些区域进行精细的控制。通过使用框架,可以轻松实现网页的标题、导航栏、页脚等部分的布局,提高网页的可用性和用户体验。HTML 框架是网页设计中不可或缺的一部分,它为网页布局提供了强大的支持。通过了解 HTML 框架的种类、应用以及如何使用它们,开发者可以创建更加美观、易用的网页。
前端八股文面试题】【JavaScript篇8】作用域链介绍?
qq_45974648的博客
08-13 425
JavaScript作用域链解析:作用域链是变量查找的层级规则,决定代码如何访问变量和函数。其核心逻辑为:从当前作用域开始查找,逐层向外直到全局作用域。函数定义时即确定作用域链(词法作用域),与调用位置无关。闭包是作用域链的典型应用,内部函数可访问外部函数变量。作用域链由函数作用域、块级作用域(ES6+)和全局作用域构成,理解其机制有助于避免变量冲突,是掌握闭包、模块化等高级概念的基础。
【web站安全开发】任务2:HTML5核心特性与元素详解
不羁的博客
08-12 1014
本文系统梳理了HTML的核心知识与优化技巧,涵盖四大模块:1. HTML元素:详细解析行内、块级、行内块元素的布局特性与区别,以及替换/非替换元素的本质差异。2. HTML5新特性:重介绍语义化标签、多媒体支持、增强表单、Canvas绘图、本地存储等核心功能,强调其开发价值与兼容性处理。3. 优化实践:提供图片加载、表单交互、页面性能、可访问性等场景的优化方案,包括懒加载、响应式图片、ARIA属性等实用技巧。4. 高频面试题:精解DOCTYPE、语义化、新特性等常见考,帮助读者掌握面试应答要
CSRF跨站请求伪造dvwa
03-30
其中,跨站请求伪造Cross-Site Request Forgery, CSRF)是一种常见的攻击方式,在低安全性配置下尤为突出。 #### CSRF 的基本原理 CSRF 攻击利用用户的登录凭证来执行未经授权的操作。当用户访问恶意网站时,该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值