摘要:
记录下自己写的CSRF漏洞靶场的write up,包括了大部分的CSRF实战场景,做个笔记。 0x01 无防护GET类型csrf(伪造添加成员请求) 这一关没有任何csrf访问措施 首先我们登录test用户 发现有个添加成员功能 用test账号添加 发现只有admin才可以添加 现在用另一个浏览器 阅读全文
摘要:
转自wang师傅博客 地址:https://blog.51cto.com/0x007/1610946 1.Refere为空条件下 解决方案: 利用ftp://,http://,https://,file://,javascript:,data:这个时候浏览器地址栏是file://开头的,如果这个HT 阅读全文
摘要:
这两天整理和编写了csrf的靶场,顺便也复习了以前学习csrf的点,这里记录下学习的总结点。 0x01 关于CSRF 跨站请求伪造 CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻 阅读全文