CSRF漏洞

漏洞原理:

csrf全名为跨站请求伪造,是一种对网站的恶意利用,虽然听起来和xss很像,但是它们俩还是有很大的区别的。csrf是通过伪造来自受信任用户的请求来利用受信任的网站。

比如:

一个有csrf漏洞的A网站,网站B是攻击者构造的一个恶意网站,当用户没有退出A网站,或者用户登陆A网站的cookie没有过期,只要在同一个浏览器中打开这个网站B,攻击者就可以利用用户的身份进行用户才能进行的操作了。

具体示例:https://www.jianshu.com/p/4eed0faaf0ca
漏洞利用:

抓包后,去掉Referer字段,如果go一下,依然有效,那么基本上可以确定该网站有csrf漏洞了

image
image

正常跳转

image
image

在这里我们把密码改为qwer

image
image
image
image
image

成功进入

image

你可能感兴趣的:(CSRF漏洞)