bp利用CSRF漏洞(dvwa)

打开dvwa,将难度调为low,点击CSRF,打开后发现有一个修改密码的输入框:

bp利用CSRF漏洞(dvwa)_第1张图片

在这里修改密码,并用bp抓包,在http history查看数据包,点击engagement tools中的Generate CSRF Poc根据请求包生成一个CSRF攻击的网页:

bp利用CSRF漏洞(dvwa)_第2张图片

在生成的代码中修改密码为12345,点击test in browser在浏览器中测试:

bp利用CSRF漏洞(dvwa)_第3张图片

复制生成网页的URL:

bp利用CSRF漏洞(dvwa)_第4张图片

然后在不关闭dvwa的情况下访问生成的恶意网站,点击按钮:

bp利用CSRF漏洞(dvwa)_第5张图片

点击后跳回到dvwa的CSRF修改密码界面,此时密码已经被修改,退回到登录界面,输入原来的密码后发现登录失败:

bp利用CSRF漏洞(dvwa)_第6张图片

你可能感兴趣的:(网络安全,csrf,前端)