CSRF

CSRF漏洞

 

跨站请求伪造漏洞

 

 

已经经过站点身份认证

已经经过站点身份认证

实践

这是更改密码的包我们要以下这一段代码

netstat -pantu | grep :80

看80端口是否被占用

 

 

 

编辑一个网页

构造一个社工页面 让受害者点击页面

 

以上这是刚才修改密码的包的头

下面是伪造页面

这是POST方法

这是POST方法

先审查元素找到表单

 

 

然后这个方法太老了

我们用burp新方法

要pro才有这难受吧

 

 

Middle CSRF

 

 

是从这个页面跳转到上面的

以下是源码

refer来源是我本机就同意你修改 不是就不同意

 

 

 

在refer里面加1227.0..0.1

他的判断应该是只要refer里面含有127.0.0.1就会被修改