| 关键词: 密码 漏洞 浏览器 攻击 登录 新设 用户 csrf 生成 权限 |
早上开心的事就是,睡醒的时候,看到你昨天晚上回我的,我来不及看到的内容。。。。 ---- 网易云热评 xss直接盗取了用户的权限,利用获取的cookie登录后台,在进行进一步操作。 csrf是借助用户的权限完成攻击,伪造一个攻击的链接,让用户在登录状态下点击此链接,从而达到攻击的目的。 一、漏洞可能存在的地方 1、站点的增删改查处; 2、cookie的有效期较长的 二、漏洞利用 1、 http://192.168.1.129/dvwa/vulnerabilities/csrf/,该页面存在漏洞,输入原始密码,及要修改的密码 ![]() 2、打开burpsuite,抓包,将找到修改密码的包发送到重发器 ![]() 3、右击,选择相关工具--》csrf poc生成 ![]() 4、点击浏览器测试,复制生成的网址并在浏览器打开 ![]() 5、退出DVWA,重新登录,发现密码已经修改为123456,测试成功 6、点击上面复制HTML,然后新建一个html文件,把内容粘贴进去并重新设定密码为password,然后用浏览器打开该文件,点击按钮 ![]() 7、直接跳转到修改密码的页面,登出验证,发现密码又被修改回来了。 ![]() 禁止非法,后果自负 欢迎关注公众号:web安全工具库 |
| 本文出处: https://www.toutiao.com/a6820011755360485902/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|