摘要: 一、CSRF漏洞原理1、基本原理CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻 阅读全文
posted @ 2022-09-16 16:55 晨起的太阳 阅读(458) 评论(0) 推荐(0) 编辑
摘要: 1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CS 阅读全文
posted @ 2022-09-16 16:42 晨起的太阳 阅读(221) 评论(0) 推荐(0) 编辑
摘要: CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 阅读全文
posted @ 2022-09-16 16:32 晨起的太阳 阅读(39) 评论(0) 推荐(0) 编辑
摘要: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是攻击者往Web页面或者URL里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入的内容没有过滤,那么当正常用户浏览该网页的时候,嵌入在Web页面里的恶意JavaScript脚本代码会被执行,从而达到恶 阅读全文
posted @ 2022-09-16 16:04 晨起的太阳 阅读(660) 评论(0) 推荐(0) 编辑
摘要: 实验环境: PHPstudy 火狐浏览器、IE DVWA靶场 实验准备: 在www目录下创建一个名为1.php的文件,内容如下: <?php$file = fopen("1.txt","a");if($_GET['cookie']){ $cookie = $_GET['cookie']; fputs 阅读全文
posted @ 2022-09-16 15:36 晨起的太阳 阅读(523) 评论(0) 推荐(0) 编辑