跨站攻击CSRF实验

  • 开发
  • 27

1.low等级

先利用Burp抓包

将get响应的url地址复制,发到网页上(Low等级到这完成)

Medium:

再将抓到的包发到Repeater上,对请求中的Referer进行修改,修改成和url一样的地址,修改成功。

在这里修改后发送

然后重新登录后输入新的密码就可以进入了

High级别:先修改等级

在dvwa的反射型xss处插入下列语句:

<iframe src="../csrf/"οnlοad=alert(frames[0].document.getElementsByName('user_token')[0].value)></iframe>

可以弹框得到当前的token值

复制粘贴到这个位置并修改密码

Login后重新输入密码

阅读全部

相关推荐

  4. 如何防止脚本攻击(XSS)和请求伪造(CSRF)等安全漏洞?

    2024-04-25 02:14:01       66 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-04-25 02:14:01       94 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-04-25 02:14:01       100 阅读

  9. 在Django里面运行非项目文件

    2024-04-25 02:14:01       82 阅读

  19. Python语言-面向对象

    2024-04-25 02:14:01       91 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-04-25 02:14:01       85 阅读

热门阅读

  1. LeetCode-非递增子序列

    2024-04-25 02:14:01       39 阅读

  8. 常见的加密方式都有哪些

    2024-04-25 02:14:01       28 阅读

  9. YOLOv8蒸馏 | 知识蒸馏 | 利用模型蒸馏改进YOLOv8进行无损涨点 | MimicLoss(在线蒸馏 + 离线蒸馏)

    2024-04-25 02:14:01       38 阅读

  11. Qt——QGridLayout

    2024-04-25 02:14:01       36 阅读

  13. MyBatis<foreach>标签的用法

    2024-04-25 02:14:01       35 阅读

  20. Vue js闭包

    2024-04-25 02:14:01       35 阅读

  22. 解决:第一次用python的pip报错

    2024-04-25 02:14:01       35 阅读

  29. 安阳旅游地图

    2024-04-25 02:14:01       28 阅读