| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> Pikachu靶场之CSRF漏洞详解 -> 正文阅读 |
|
[网络协议]Pikachu靶场之CSRF漏洞详解 |
Pikachu靶场之XSS漏洞详解前言本篇文章用于巩固对自己csrf漏洞的学习总结,其中部分内容借鉴了以下博客。 漏洞简述CSRF是什么CSRF全称为跨站请求伪造( CSRF攻击原理CSRF攻击利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。 CSRF攻击防护1.只使用JSON API 如何确认一个web系统存在CSRF漏洞1.对目标网站增删改的地方进行标记,并观察其逻辑,判断请求是否可以被伪造 2.确认凭证的有效期 第1关 CSRF(get)进入靶场发现是一个登陆界面,所以我们直接点击提示得到账号密码进行登录。 在allen登录状态下(其实这个链接里面是不包含用户名的,谁登录都无所谓,只要有人登录着就行,登录着的用户的信息就会被改成url提供的那些),试试改一改上面的链接,比如把电话号码改一改。浏览器地址栏输入payload:
跳转到显示用户信息的地方,手机号已经被成功修改,攻击成功。 如下图: 比如下图这样(印象中似乎见过一个网站可以自己定义生成的短链接的部分特征,比如以某个知名网站名开头。没找到,要是哪位大神知道,欢迎分享) 浏览器地址栏输入这个短链接之后,allen成功变成女孩啦 第2关 CSRF(post)进入第二关,也是一个登陆界面,登陆的账号密码和第一关一样,依旧登陆 但是这一关是post类型,URL不再显示修改参数,所以无法再使用上述办法(即通过URL来伪造请求)进行修改,但是抓包可以知道本页面中有的标签以及name,方便后面构造表单时使用。 此时,黑客可以通过构造恶意站点,将POST请求隐藏在站点中的表单中,然后诱骗用户进行点击,当用户点击后触发表单,数据自然就POST到存在CSRF漏洞的网站,用户的信息则被恶意修改。 将写好的表单部署到黑客站点,这里因为是本机做演示,所以我放到 最后,当用户在登录状态下,访问黑客站点
第三关 CSRF Token这关是防范CSRF的常用方法的一个演示。 token验证原理CSRF的主要问题是敏感操作的链接容易被伪造 网页接受从后台发过来的token,类型不可见。将其一并提交给后台进行验证。每次刷新,后台发送过来的token都不一样,起到了防止伪造的作用。 修改用户信息并提交,在burpsuite的proxy模块可以看到报文中包含token(如下图红框中所示) 看一下代码,修改用户信息时,服务器会比较url中的token字段和session中的token字段,如果相同才能修改用户信息。 修改完用户信息之后,会用set_token()函数生成新的token,将其返回到html表单中并隐藏起来,以便下次用户修改信息时代入url。 其他防范措施 |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/29 11:32:22- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |