甘肃兰州网站建设,说几个手机可以看的网站,满城网站建设,全国icp网站备案审核时间目录
CSRF与XSS的区别#xff1a;
get请求
原理#xff1a;
pikachu为例
post请求
pikachu为例 CSRF与XSS的区别#xff1a; CSRF是借用户的权限完成攻击#xff0c;攻击者并没有拿到用户的权限#xff0c;而XSS是直接盗取到了用户的权限 get请求
原理#xff1a;…目录
CSRF与XSS的区别
get请求
原理
pikachu为例
post请求
pikachu为例 CSRF与XSS的区别 CSRF是借用户的权限完成攻击攻击者并没有拿到用户的权限而XSS是直接盗取到了用户的权限 get请求
原理 A在某个网站更改我们所需要的信息信息点击提交用bp开启抓包。然后把更改数据的get请求网址复制出来发给B。当B点击这个链接打开的时候如果B恰好登陆我们的目标网站信息就会修改成功。
靶场pikachu的getdvwa的low
pikachu为例
lili用户进行信息更改界面然后把提交的链接发送给allen 用bp进行抓包
GET /vul/csrf/csrfget/csrf_get_edit.php?sex777888phonenum777888add777888email777888submitsubmit 构造payload
http://8.130.137.228:84/vul/csrf/csrfget/csrf_get_edit.php?sex777888phonenum777888add777888email777888submitsubmit
将payload发送给allen,allen进行点击 post请求 pikachu为例
可以看到我们进行修改的参数在请求体中可以看到 利用bp的poc一个html页面生成网址链接 访问这个链接的时候是不能关闭bp的代理的。访问到这个界面之后就要关闭bp代理点击按钮就修改信息成功了 防护措施
①对敏感信息的操作增加安全的token
②对敏感信息的操作增加安全的验证码
③对敏感信息的操作实施安全的逻辑流程比如修改密码时需要先校验旧密码等。
④用referer来限制访问跳转页面
