当前位置: 首页 > news >正文

中级课程——CSRF

文章目录

  • 案例
  • 原理
  • 挖掘


案例

在这里插入图片描述在这里插入图片描述

原理

在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述

在这里插入图片描述

挖掘

挖掘详情

  1. 首先就是对目标敏感部位进行抓包分析,比如修改信息、转账、添加信息等等。通常一个数据包HTTP请求头里边都会有一个Referer,这个需要特别去验证。比如放到Burpsuit Repeater里边去测试:去掉referer,看结果是否有变化。如果没有变化意味着这里的Referer服务器端并未验证,那就继续看下一步。
    104542ahrwts5mcmwo64rh.png
    104542d7kv7du8b3dhpk7k.png
  2. 紧接着就是查看数据包是否存在类似CSRF token的字段、常见的有参数有csrf、token、sid……(一般这些字段的值都是随机字符串),如果没有的话就排除CSRF Token的验证了。转到下一步。

经历了步骤一二之后,发现了隐藏在HTTP头里边的method:Save,意味着这里CSRF是不存在了。
经历了以上三步之后,基本你的CSRF漏洞就到手了

http://www.lryc.cn/news/118378.html

相关文章:

  • 面试热题(岛屿数量)
  • 【WebRTC---源码篇】(二十四)GCC获取码率后的分配
  • 数据可视化工具LightningChart .NET正式发布v10.5.1——拥有全新的3D新功能
  • AWS认证SAA-C03每日一题
  • ASP.NET Core MVC -- 将视图添加到 ASP.NET Core MVC 应用
  • 基于R做宏基因组结果的PCoA分析
  • 8.10 算法刷题【1道题】
  • Apache Maven:从构建到部署,一站式解决方案
  • 文章四:版本控制策略 - 穿越时光机:Git版本控制进阶技巧
  • 爬虫如何应对网站的反爬机制?如何查找user-agent对应的值
  • 一个概率论例题引发的思考
  • 司徒理财:8.11黄金最新走势分析早盘1914现价多
  • 请写一个非对称加密工具 示例包括完整的通信流程
  • 近地面无人机植被定量遥感与生理参数反演技术
  • 卡巴斯基为基于Linux的嵌入式设备推出专用解决方案
  • Word转PDF工具哪家安全?推荐好用的文件格式转换工具
  • dma_mmap_coherent函数的使用
  • MySQL_DQL语句(查询语句以及常用函数)
  • 一步步教你实现JWT认证和授权
  • 【python 深度学习】解决遇到的问题
  • maxwell 基于zookeeper的高可用方案
  • 【JavaScript】match用法 | 正则匹配
  • 前端css + js +vue +element-ui 实现响应式布局,根据浏览器窗体大小自动响应
  • 小程序生成App:轻量低门槛的开发方式
  • Linux命名管道进程通信
  • 如何将苹果彻底删除视频找回?试试这3种方法
  • 【音视频、chatGpt】h5页面最小化后,再激活后视频停住问题的解决
  • [CSS] 图片九宫格
  • MChat-Gpt V1.0.0 (将ChatGpt机器人接入内网供全体使用)
  • 日常开发中Git命令指北