zoukankan      html  css  js  c++  java
  • dvwa的csrf

    csrf全称 Cross-site request  forgery  中文名称跨站请求伪造

        攻击者欺骗浏览器,让其以受害者的名义执行自己想要的操作

    打开dvwa,dvwa的csrf是一个修改密码的界面,有两个文本框,第一个是新密码,第二个是却确认新密码

    low

    我们先试着修改密码,查看一下效果,点击按钮之后,出现了 Password Changed

    返回登陆界面,尝试用新密码登陆,成功,密码修改成功

    使用burpsuite抓包

    在burpsuite中修改密码,在页面登陆,查看是否修改成功,发现成功

    在burpsuite中找到包的GET信息,写成一个HTML,访问HTML可以修改密码

           ps:把文件放在www目录下

            文件打开会有一个按钮,点击才会修改

    medium

     修改等级,尝试直接访问HTML,查看密码是否修改成功,发现失败

    打开burpsuite进行抓包,把medium与low等级的包进行对比, 发现的不同只有refer

    把refer加入HTML,成功

    寻找原因,发现是域名Prorecool.com在影响

    尝试在HTML加上Prorecool.com目录,直接访问,成功

    high

     high等级增加了用户token,而且每次修改密码token都是变化的

    impossible

    impossible级修改密码的界面是需要通过三次输入,增加了当前密码的输入框,从而进行身份验证

  • 相关阅读:
    scrapy 常用代码
    pycahrm 基础设置
    pycahrm 激活
    pycharm 常用快捷键
    platform 系统是windows还是liunx
    (14)awk布尔值、比较和逻辑运算
    (13)gawk支持的正则表达式
    (12)awk数据类型和字面量
    (11)细说awk中的变量和变量赋值
    (10)print、printf、sprintf和重定向
  • 原文地址:https://www.cnblogs.com/shrdbk/p/12854795.html
Copyright © 2011-2022 走看看