浅谈CSRF漏洞挖掘技巧_程序开发

创始人

2024-09-11 21:51:50

0次

CSRF(Cross-site request forgery跨站请求伪造，也被称成为“one click attack”或者session riding。

例A：

针对某个人进行CSRF POST攻击,需要诱导用户点击所以称 one click attack

首先假定有2个用户，分别为 A用户和 B用户

A用户申请的ID为1 ，B用户申请的ID为2

A用户修改个人资料的URL假设为：http://www.xxx.com/userinfo.php?id=1

POST参数为name

如果A用户知道B用户ID为2且A用户通过修改ID不能访问到B用户的时候，可以进行CSRF攻击

首先建个页面，页面代码如下：

别人只要点击链接，即可触发漏洞

接着讲CSRF GET 攻击

也用例子说明(该例子来自乌云YKS )

新浪SAE普通开发者认证CSRF

1.在邀请链接后面加上&makesure=1，然后到新浪开发者论坛回复插入下面的代码，别人在登陆了SAE的情况下打开有该代码的帖子会自动邀请指定用户。

只要查看该页面，即可自动邀请指定用户，是不是对于CSRF有了不同的认识了啊？

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下，MySQL服务器仅侦听来自localhos...

如何利用交换机和端口设置来管理... 在网络管理中，总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...

施耐德电气数据中心整体解决方案... 近日，全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”，作为该活动的...

20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...

2009 IBM动态架构新动力...

通过 XML 进行内容发布

德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站，直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...

为啥国人偏爱 Mybatis，... 关于 SQL 和 ORM 的争论，永远都不会终止，我也一直在思考这个问题。昨天又跟群里的小伙伴进行...

《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说，“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...

2012年第四季度互联网状况报... [[71653]]　　北京时间4月25日消息，据国外媒体报道，全球知名的云平台公司Akamai Te...