南通 外贸建站,医院风格 wordpress,做网站建设的目的,alexa的网站排名主要分为哪两种一、漏洞原理
CSRF#xff08;Cross-Site Request Forgery#xff09;是一种网络安全攻击#xff0c;攻击者通过欺骗用户在不知情的情况下发送请求#xff0c;从而实现对目标网站的操作。 网站管理员(已经登录网站后台)——黑客构造的恶意服务器(是网站的创建用户请求)——…一、漏洞原理
CSRFCross-Site Request Forgery是一种网络安全攻击攻击者通过欺骗用户在不知情的情况下发送请求从而实现对目标网站的操作。 网站管理员(已经登录网站后台)——黑客构造的恶意服务器(是网站的创建用户请求)——成功创建用户
黑客获取某网站中的某个功能请求比如创建用户删除用户修改密码支付请求创建文章请求等把请求构造到自己的服务器上面然后发送给用户该用户访问黑客的服务器就会发起支付请求。
二、漏洞利用
靶场PIkachu
GET请求
复制更改邮箱的请求 构造请求http://172.16.234.196/vul/csrf/csrfget/csrf_get_edit.phphp?sexgirlphonenum12345678922addusaemailhelloword%21%21%21%21submitsubmit
用户访问这个请求就会更改邮箱 POST请求
用burp抓取修改邮箱请求 利用burp制作csrf的poc 放在自己的网站上 当用户访问该服务器自动修改服务器 还有两种检测一个就是来源检测可以删除Referer为空。还有个就是token检测重复利用token值为空
三、漏洞修复
检测访问来源增加检测token会话机制操过登录时间自动退出
