csrf

到csrf了，做了道dvwa的，感觉也没做明白，上网看了半天到底啥是csrf

感觉它跟xss很像，但是又不太一样

xss是通过js把cookie弹到了我们的网站上从而获取用户cookie，而csrf利用了用户的cookie但是并没有直接获取到，而是通过修改更改信息的链接，在对方点击链接后对其信息进行了修改

pikachu中的解释是这样的：

 看起来想要实现csrf还是挺难的

这里就先做做pikachu的题

进去是个登录页面，试了半天弱口令没试出来，只好看提示

 

然后就是修改信息，全改成123抓个包

 

 那么我们登录到另一个账户，然后点击get中的请求构造成的url

 

 

 下一种是用了post传参

 这回就没法再直接构造链接了，而是需要写个网页

bp里有自动生成poc的功能

 

 点击用浏览器测试

 

 然后在浏览器中访问这个链接，记得把bp的拦截关掉只开代理

 

 呃……忘记换了，我们换个用户

 重新点击链接

 token的还没太看懂，等我再看看