DVWA SSRF漏洞

1.Low
这是http://a8dca549-d501-45fb-aef8-e70597e3055d.node3.buuoj.cn/vulnerabilities/csrf/?password_new=11123&password_conf=11123&Change=Change#改密码的链接，我们把链接复制出来或者在链接上面直接修改密码和更新密码，也是一样可以更改的，再次登录用新更改的密码就可以了。
还有一种方法就是本地搭建的环境，做一个html像这样写进 < img src>这种也可以，然后把链接发过去。使得其被访问。
2.meduim
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false )
查看源码，比low多了一个过滤。
意思是检查referer参数中是否包括主机名。
用bp抓包
这个用的本地环境，还使用html中写入URL，将html名字改成和主机名一样的如果你的主机名是172.0.0.1，那么你的html文件也应该是127.0.0.1.html，这样发过去给被访者访问，也是可以修改的。