【pikachu csrf】

cxrf

  • 个人理解
  • get
  • POST

个人理解

当被攻击用户登陆访问网站时,在保持登陆状态时点击小黑子(黑客)搭建的恶意链接而导致用户受到攻击。
举个例子
我去攻击网站,但是我找不到漏洞,这个时候我注册一个账号,发现存在cxrf漏洞,我进入登录页面获取信息然后构造一个链接,此链接的功能是修改密码。我将此链接发送给目标,当目标在登陆网页时,并保持登陆状态,点开了我的链接此时他的密码就已经修改了,我就可以登陆她的账号。如果这个人时网站管理人拥有管理员权限,那我相当于控制了这个网站。

get

在此页面可以发现url栏已经将账号密码回显出来了没有什么过滤。
在这里插入图片描述
抓个包看看,在burp中将账号密码修改然后放包发现可以修改成功。在这里插入图片描述
在攻击他人时我们无法抓取别的的包,但是我们可以吧刚修改密码的链接拷贝下来,想方设法的发给对方,当对方恰好在访问此网站时,又恰好点击了这个链接就可以完成修改密码。以自己为例,在登陆页面的url拼接修改密码的链接,发现刚好可以修改成功密码和其它信息。
在这里插入图片描述

POST

登陆页面保持登陆状态
在这里插入图片描述
抓包然后如图操作在这里插入图片描述在此页面修改然后点击红圈在这里插入图片描述copy这个链接在保持登陆状态时新开一个网页访问此链接就可以修改密码等信息
在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/456464.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

探索Web API SpeechSynthesis:给你的网页增添声音

Web API SpeechSynthesis是一项强大的浏览器功能,它允许开发者将文本转换为语音,并通过浏览器播放出来。本文将深入探讨SpeechSynthesis的控制接口,包括其功能、用法和一个完整的JavaScript示例。 参考资料:SpeechSynthesis - Web…

【芯片设计- RTL 数字逻辑设计入门 8 -- 四选一多路器】

文章目录 四选一多路输出器verilog case 语句verilog 代码testbench 代码仿真波形 问题小结 四选一多路输出器 制作一个四选一的多路选择器,要求输出定义上为线网类型 状态转换: d0 00 d1 01 d2 10 d3 11verilog case 语句 case(express…

微软AD域替代方案,助力企业摆脱护网期间被攻击的窘境

在红蓝攻防演练(护网行动)中,AD域若被攻击成功,是其中一个扣分最多的一项内容。每年,宁盾都会接到大量AD在护网期间被攻击,甚至是被打穿的企业客户。过去,企业还会借助2FA双因子认证加强OA、Exc…

2024数据分析管理、数字经济与教育国际学术会议(ICDAMDEE2024)

会议简介 2024年数据分析管理、数字经济和教育国际学术会议(ICDAMDEE 2024)将在武汉举行。会议不仅展示了来自世界各地的研究专家围绕数据分析管理、数字经济和教育的最新科研成果,还为来自不同地区的代表们提供了面对面的交流意见和实验经验…

MySQL学习记录——사 表结构的操作

文章目录 1、创建表2、查看表结构3、改变表结构4、删除表5、总结 1、创建表 CREATE TABLE table_name ( field1 datatype, field2 datatype, field3 datatype ) character set 字符集 collate 校验规则 engine 存储引擎; 例子 create table users ( id int, name varchar(20) c…

[office] Excel如何快速统一数字编号长度 #经验分享#其他

Excel如何快速统一数字编号长度 我们在办公室使用Excel统计数据的时候,经常会遇到第一列数据全部是数字编号,但是因为数字的位数不一样,长短不一的样子看起来不是很协调。那么如何快速统一数字编号长度呢?一起来了解一下吧 我们在…

机器学习---概率图模型(隐马尔可夫模型、马尔可夫随机场、条件随机场)

1. 隐马尔可夫模型 机器学习最重要的任务是根据已观察到的证据(例如训练样本)对感兴趣的未知变量(例如类别标 记)进行估计和推测。概率模型(probabilistic model)提供了一种描述框架,将描述任…

企业计算机服务器中了mallox勒索病毒怎么办,mallox勒索病毒处理流程

由于网络技术的不断发展与应用,越来越多的企业开始依赖计算机技术来提高企业效率。然而,网络安全威胁无处不在,严重影响着企业计算机服务器中的数据安全。近期,云天数据恢复中心接到许多中大型企业的求助,企业的多台服…

HGAME 2024 WEEK1 WP

文章目录 WEBezHTTPBypass itSelect Courses2048*16jhat REezASMezPYCezUPXezIDA PWNEzSignIn CRYPTO奇怪的图片ezRSAezMathezPRNG MISCSignIn来自星尘的问候simple_attack希儿希儿希尔签到 放假比较闲,打打比赛 WEB ezHTTP 来自vidar.club、UA要求阿巴阿巴阿巴…

【数据结构排序算法篇】----插入排序【实战演练】

作为一名对技术充满热情的学习者,我一直以来都深刻地体会到知识的广度和深度。在这个不断演变的数字时代,我远非专家,而是一位不断追求进步的旅行者。通过这篇博客,我想分享我在某个领域的学习经验,与大家共同探讨、共…

ONLYOFFICE桌面编辑器8.0新特性:PDF表单、RTL支持、Moodle集成、本地界面主题等

ONLYOFFICE是由领先的IT公司—Ascensio System SIA经验丰富的IT专家开发的项目。这是一款强大的在线编辑器,能够为提供高效的文本文档、电子表格、演示文稿、表单和 PDF 编辑工具。 继 ONLYOFFICE 文档 v8.0发布后,适用于 Linux、Windows 和 macOS 的免费…

阿里云游戏服务器多少钱一年?

阿里云游戏服务器租用价格表:4核16G服务器26元1个月、146元半年,游戏专业服务器8核32G配置90元一个月、271元3个月,阿里云服务器网aliyunfuwuqi.com分享阿里云游戏专用服务器详细配置和精准报价: 阿里云游戏服务器租用价格表 阿…