通过csrf进行地址修改

打开web漏洞练习平台
以一个被攻击者的身份登录个人信息页面：


假设此时用户进行了信息修改。修改了地址信息（同时打开bp抓取提交给服务器的数据包）
这里插入对html的知识点，当网站建设者在写html网页脚本时，在用户信息处会用到表单标签。表单是网页中提供给用户输入信息的区域。表单创建标签这里面的所有定义都属于表单内容。表单标签常用属性：name:表单名字method：对用户输入的信息做何种方法发送到web服务器中，默认为get：直接将获得的内容连接到url的后面，一起发送，这些内容是可见的，有长度限制，不太安全。另一种方法时post:将内容包括到表单体中一起提交，url后不显示内容，无长度限制。
。
可见，通过get方法提交的表单是不安全的。通过抓包就可以获知信息。
get请求展示
可以看见地址是武汉。

这时，如果攻击者以同样的方式获取到一个这样的url（同样是以一个用户的身份登录。将想要修改的信息修改，将url复制后发给攻击对象。），当被攻击方在登陆情况下，点击了这个超链接地址。修改就会完成。