pikachu靶场之csrf(1)

关于csrf漏洞与xss漏洞的区别，主要在于其攻击方式的不同，

xss漏洞主要是通过获取用户权限，登录后台，来造成破坏。

而csrf漏洞主要通过绕过用户权限，来通过恶意链接来改掉用户信息。

下面，我们在pikachu靶场中演示如何利用csrf漏洞。

1，

 

 登录账号。

 

 

 

 之后修改账号，同时利用bp抓包，来判断修改用户信息是否设置一些保护措施。

发现其参数直接用get提交,并且没做什么认证

可以直接设置恶意链接来攻击。

 

 

https://127.0.0.1/pikachu/pikachu/vul/csrf/csrfget/csrf_get_edit.php（修改信息）

 后面加上要修改的内容就可以了。

只要对方在登录这个网站后，点击这个链接，对方的用户信息便被篡改了

这便是成功篡改的用户信息。