CSRF漏洞简介、DVWA靶场中的CSRF漏洞利用、CSRFTester。
一、漏洞简介
1 | CSRF(Cross-site request forgery,跨站请求伪造) |
二、DVWA靶场中的CSRF漏洞利用
1 | centos63 DVWA 服务器 IP:192.168.100.63 |
1、DVWA 的 low 级别 CSRF 攻击:
1 | 使用 Kali 中的火狐访问:http://192.168.100.63/DVWA-master/login.php |
2、DVWA的Medium级别的CSRF攻击:
1 | 1、查看源码: |
3、DVWA的High级别的CSRF攻击:
1 | 修改密码需要user_token,点击刷新,会生成一个新的token,也就是说token是会变的。 |
三、使用 CSRFTester 进行自动化探测 CSRF 漏洞
1 | 目的:探测 web 应用程序是否具有防止 CSRF 的措施。如果 Web 应用程序的 HTTP 请求中没有对应的预防措施,那么很大程度上就确定存在 CSRF 漏洞。 |
本文作者:
kur08a
本文链接: https://kur08a.github.io/2022/06/13/CSRF/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
本文链接: https://kur08a.github.io/2022/06/13/CSRF/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
![知识共享许可协议](https://i.creativecommons.org/l/by-nc-sa/4.0/88x31.png)