bp利用CSRF漏洞(dvwa)

打开dvwa,将难度调为low,点击CSRF,打开后发现有一个修改密码的输入框:

在这里修改密码,并用bp抓包,在http history查看数据包,点击engagement tools中的Generate CSRF Poc根据请求包生成一个CSRF攻击的网页:

在生成的代码中修改密码为12345,点击test in browser在浏览器中测试:

复制生成网页的URL:

然后在不关闭dvwa的情况下访问生成的恶意网站,点击按钮:

点击后跳回到dvwa的CSRF修改密码界面,此时密码已经被修改,退回到登录界面,输入原来的密码后发现登录失败:

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容