CSRF漏洞

漏洞原理:

csrf全名為跨站請求偽造,是一種對網(wǎng)站的惡意利用,雖然聽起來和xss很像,但是它們倆還是有很大的區(qū)別的。csrf是通過偽造來自受信任用戶的請求來利用受信任的網(wǎng)站。

比如:

一個有csrf漏洞的A網(wǎng)站,網(wǎng)站B是攻擊者構(gòu)造的一個惡意網(wǎng)站,當(dāng)用戶沒有退出A網(wǎng)站,或者用戶登陸A網(wǎng)站的cookie沒有過期,只要在同一個瀏覽器中打開這個網(wǎng)站B,攻擊者就可以利用用戶的身份進(jìn)行用戶才能進(jìn)行的操作了。

具體示例:http://www.itdecent.cn/p/4eed0faaf0ca
漏洞利用:

抓包后,去掉Referer字段,如果go一下,依然有效,那么基本上可以確定該網(wǎng)站有csrf漏洞了

image
image

正常跳轉(zhuǎn)

image
image

在這里我們把密碼改為qwer

image
image
image
image
image

成功進(jìn)入

image
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容