如何进行CSRF整理分析

发布时间:2021-12-16 17:59:57 作者:柒染
来源:亿速云 阅读:137

如何进行CSRF整理分析,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

简介

每个漏洞玩好了都是大佬,希望每个人都能学有所成

免责声明:

禁止对真实未授权网站进行测试,后果自负

一、原理

当黑客发现某网站存在CSRF漏洞,并且构造攻击参数将payload制作成网页,用户访问存在CSRF漏洞的网站,并且登录到后台,获取cookie,此时黑客发送带有payload的网址给用户,用户同时打开黑客所发来的网址,执行了payload,则造成了一次CSRF攻击

形成原因:主要是漏洞网站没有经过二次验证,和用户在浏览漏洞网站的时候,同时点击了hack制造的payload

二、与XSS的区别

XSS:hack发现存在xss漏洞的网站—>制造payload—>将带有payload的网址发送给用户诱导点击—>执行payload获取黑客获取到敏感信息—>hack利用敏感信息进行操作数据修改

CSRF: hack发现存在CSRF漏洞的网站—>制造payload—>将带有payload的网址发送给用户诱导点击—>用户浏览了存在CSRF漏洞网站的情况下同时点击hack制作的payload链接,执行payload并且修改数据

区别:XSS是由hack诱导用户点击之后获取敏感信息,hack自己通过敏感信息进行下一步工具

区别:CSRF由hack构造payload诱导用户点击,用户点击的过程中同时浏览了存在漏洞的网站,由用户发起hack所制作的payload请求,修改信息

三、漏洞挖掘

添加信息

删除信息

修改信息

一切可执行的地方,并且没有进行二次验证码和token验证的地方,就有可能存在CSRF

四、漏洞利用

例1:发现DVWA靶场存在CSRF漏洞攻击特征

如何进行CSRF整理分析

通过BP抓包和BP的制作CSRF代码的功能进行payload的制作

如何进行CSRF整理分析

如何进行CSRF整理分析

将代码复制出来制作成html文件,并发送给客户端诱使其执行

如何进行CSRF整理分析

用户浏览同时浏览DVWA靶场和hack制作的payload的网页时,直接进行了修改密码请求,并且成功

如何进行CSRF整理分析

最不可能存在的也是最基本的CSRF攻击方:

例2:上面是POST方式提交的,那么GET方式改如何制作payload呢

如何进行CSRF整理分析如何进行CSRF整理分析如何进行CSRF整理分析

制作一个超链接,单数就是服务器请求地址,加修改的参数,当用户请求的时候就发起了一次攻击

例3:还有一种是通过post发起请求,然后将input请求标签隐藏在iframe标签中,并且隐藏,然后通过js代码来调取和执行这次标签的请求,之后跳转到用户点击的正常页面。这样可以尽可能少的产生怀疑

看完上述内容,你们掌握如何进行CSRF整理分析的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

推荐阅读:
  1. CSRF漏洞分析利用及防御
  2. 如何进行Enqueue的整理

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

csrf

上一篇:如何用ElasticSearch实现基于标签的兴趣推荐

下一篇:怎么解析Python中的Dict

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》