美文网首页
DVWA——CSRF

DVWA——CSRF

作者: 爪爪00 | 来源:发表于2018-12-06 21:30 被阅读0次

Low等级

image

抓包

image

正常跳转

image image

在这里我们把密码改为qwer

image image image image image

成功进入了DVWA

image

CSRF Medium等级:

开始,抓包

image.png
image.png

很显然,网站对referer做了验证,绕过referer验证有以下几种方法:

1)空Referer绕过:

在referer字段后添加:http:// https:// ftp:// file://,在发送,看是否可以绕过referer验证。

2)判断referer是否存在某个关键词。
在本示例中用第二种方法绕过referer验证:
image.png
构造csrf poc:
image.png image.png
image.png
image.png

CSRF High等级:

image.png

所以像medium和low等级那样的方法是不能用的了,但是我们可以利用burp的插件CSRF Token Tracker绕过token验证:

image.png
image.png
image.png

然后来到repeater选项下:

image.png

相关文章

  • DVWA——CSRF

    Low等级 抓包 正常跳转 在这里我们把密码改为qwer 成功进入了DVWA CSRF Medium等级: 开始,...

  • DVWA CSRF模块

    CSRF,全称Cross-site request forgery,即跨站请求伪造,是指利用受害者尚未失效的身份认...

  • DVWA之CSRF

    CSRF(Cross-site request forgery) CSRF,全称Cross-site reques...

  • 在线靶场

    1.DVWA DVWA是著名的OWASP开放出来的一个在线web安全教、学平台提供了:暴力破解、命令执行、CSRF...

  • DVWA练习记录——CSRF

    在线练习靶场 http://www.vulnspy.com/dvwa/damn_vulnerable_web_ap...

  • DVWA笔记之CSRF

    CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失...

  • CSRF-DVWA利用

    LEVE: low自动跳转change 构造文件名为 192.168.13.83.html 由于本地搭建环境地...

  • DVWA之csrf学习

    CSRF:跨站请求伪造,诱骗受害者访问含恶意代码的页面,利用受害者的身份认证,以受害者的名义向服务器发送请求,从而...

  • CSRF跨站请求攻击

    原理 在攻击者的网站去调用你的服务。比如点赞、关注、修改密码 攻击演示 启动DVWA, 进入CSRF 在输入框输入...

  • DVWA-CSRF(跨站请求伪造)

    本系列文集:DVWA学习笔记 <跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其...

网友评论

      本文标题:DVWA——CSRF

      本文链接:https://www.haomeiwen.com/subject/hghwcqtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|DVWA——CSRF|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!