CSRF 漏洞实战

 CMS创建新用户

方法:攻击者可以利用 XSS 触发 CSRF 攻击。因为,可以利用 JS 发送 HTTP 请求。经过研究受害网站的业务流程,可以构造如下代码:

代码:

前提:

我们发现CSM网站留言板存在xss漏洞

1.第一步:

  • 填写留言板并提交。

CSRF 漏洞实战_第1张图片

2.第二步:

  • 模仿管理员管理留言板。
  • 管理员登录账号

CSRF 漏洞实战_第2张图片

  • 查看留言板

CSRF 漏洞实战_第3张图片

到这里就已经完成了添加用户。

  • 查看管理员账号,发现是我们添加的账号

CSRF 漏洞实战_第4张图片

  • 登录

CSRF 漏洞实战_第5张图片

CSRF 漏洞实战_第6张图片

你可能感兴趣的:(CSRF,跨站请求伪造,csrf,安全,web安全)