摘要：1.打开靶机，查看后台 2.登录进去，查看，需要修改host和referer 3.重新登录，burp抓包 4.修改host和referer，使其伪造成内部访问 5.发包，还是失败 6.代码审计之后发现，这里只判断host与referer的ip和端口是否一致 7.重新抓包，改包， 8.发包，得到fla 阅读全文

摘要：Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念，甚至有 阅读全文