CSRF漏洞

漏洞原理:

csrf全名为跨站请求伪造,是一种对网站的恶意利用,虽然听起来和xss很像,但是它们俩还是有很大的区别的。csrf是通过伪造来自受信任用户的请求来利用受信任的网站。

比如:

一个有csrf漏洞的A网站,网站B是攻击者构造的一个恶意网站,当用户没有退出A网站,或者用户登陆A网站的cookie没有过期,只要在同一个浏览器中打开这个网站B,攻击者就可以利用用户的身份进行用户才能进行的操作了。

具体示例:https://www.jianshu.com/p/4eed0faaf0ca
漏洞利用:

抓包后,去掉Referer字段,如果go一下,依然有效,那么基本上可以确定该网站有csrf漏洞了

image
image

正常跳转

image
image

在这里我们把密码改为qwer

image
image
image
image
image

成功进入

image
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容