随笔分类 - CSRF
摘要:记录下自己写的CSRF漏洞靶场的write up,包括了大部分的CSRF实战场景,做个笔记。 0x01 无防护GET类型csrf(伪造添加成员请求) 这一关没有任何csrf访问措施 首先我们登录test用户 发现有个添加成员功能 用test账号添加 发现只有admin才可以添加 现在用另一个浏览器
阅读全文
摘要:转自wang师傅博客 地址:https://blog.51cto.com/0x007/1610946 1.Refere为空条件下 解决方案: 利用ftp://,http://,https://,file://,javascript:,data:这个时候浏览器地址栏是file://开头的,如果这个HT
阅读全文
摘要:这两天整理和编写了csrf的靶场,顺便也复习了以前学习csrf的点,这里记录下学习的总结点。 0x01 关于CSRF 跨站请求伪造 CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻
阅读全文
摘要:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CS
阅读全文
