DVWA-CSRF-Medium
-
用户admin/password 登陆,修改密码,并使用BP抓包
-
使用smithy/password登陆,重放抓到的BP包,smithy 密码将被修改
-
重点是确保Referer 的信息存在,且和admin/password 修改密码时使用的一致
![]()
代码审计:
通过代码可以看出,如果在Referer中找到服务器名称才会执行参数修改工作,因此,我们需要确保Referer 内容的正确
用户admin/password 登陆,修改密码,并使用BP抓包
使用smithy/password登陆,重放抓到的BP包,smithy 密码将被修改
重点是确保Referer 的信息存在,且和admin/password 修改密码时使用的一致
代码审计:
通过代码可以看出,如果在Referer中找到服务器名称才会执行参数修改工作,因此,我们需要确保Referer 内容的正确
浙公网安备 33010602011771号