low
csrf(cross-site-request forgery),跨站请求伪造。
测试网站 --http://localhost/vulnerability/csrf
修改密码,点击change,网页url中暴露出要修改的密码。
漏洞利用,构造链接
当受害者点击这个页面时,会发现这是个错误的界面,但其实已经收到了csrf的攻击。
当他重新登录时会发现用自己修改的密码(1234)登录不上
用攻击方的密码可以登录(124)
