CSRF绕过

目录

1. 检查referer

referer绕过

2. 检查origin

3. Cookie检查

SameSite

持久性验证

4. Token检查

检测token编码类型,尝试篡改token

绕过token检测

在页面上尝试修改密码, 观察请求的格式.

绕过思路

1. 编写一个js脚本完成以下的任务:

2. 引诱登录的用户触发这个js脚本就可以完成修改密码的攻击.


1. 检查referer

设置一个虚假的referer 与 源请求头均请求后做比较,如果返回的长度相同,那么网站在处理HTTP请求之前实际上不会验证referer

referer绕过

当使用一个普通的表单类型的钓鱼链接时, 比如 http://192.168.112.202/csrf.html

<html><!-- CSRF PoC - generated by Burp Suite Professional --><body><script>history.pushState('', '', '/')</script><form action="http://192.168.112.200/DVWA-master/vulnerabilities/csrf/"><input type="hidden" name="password&#95;new" value="root" /><input type="hidden" name="password&#95;conf" value="root" /><input type="hidden" name="Change" value="Change" /><input type="

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/33120.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

redis 的内存尽量不要超过 10g,超过 10g 可能会有问题

在使用Redis时&#xff0c;内存大小的限制通常取决于多种因素&#xff0c;包括但不限于&#xff1a; 1. **物理内存**&#xff1a;服务器的总内存大小限制了Redis可以使用的最大内存。 2. **操作系统限制**&#xff1a;操作系统可能对单个进程可以使用的内存有限制。 3. **Red…

【源码】Spring Data JPA原理解析之Auditing执行原理

Spring Data JPA系列 1、SpringBoot集成JPA及基本使用 2、Spring Data JPA Criteria查询、部分字段查询 3、Spring Data JPA数据批量插入、批量更新真的用对了吗 4、Spring Data JPA的一对一、LazyInitializationException异常、一对多、多对多操作 5、Spring Data JPA自定…

7.系统工具——黑马程序员Java最新AI+若依框架项目

目录 前言一、表单构建任务&#xff1a;设计添加课程表单 二、 代码生成1.任务&#xff1a;将部门表在页面端显示改为树形结构 三、系统接口任务&#xff1a;使用sagger进行接口测试 前言 提示&#xff1a;本篇讲解若依框架 系统工具 一、表单构建 功能&#xff1a;完成前端…

欧洲杯赛况@20240623

估计点击标题下「蓝色微信名」可快速关注 老牌劲旅捷克队面对格鲁吉亚&#xff0c;这是两队的首次交锋&#xff0c;格鲁吉亚是很放松的状态&#xff0c;每场比赛对他们都很新鲜&#xff0c;而捷克则谨慎多&#xff0c;至今为止&#xff0c;最倒霉的球员&#xff0c;可能就是捷克…

numpy的array/asarray/asanyarray的格式转化错误问题解决

关于numpy的array()、asarray()、asanyarray() 当前numpy版本&#xff1a;1.26.3 有时一些依赖numpy的旧项目&#xff0c;在运行时&#xff0c;会出现如下错误 ValueError: setting an array element with a sequence. The requested array has an inhomogeneous shape after 1…

SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED]

python 在使用websocket 或者request可能会报这个错误&#xff0c;这是证书认证中的错误&#xff0c;如果不是对安全要求高的开发&#xff0c;可以使用下面的方式使request与websocket正常访问 在request中修改一个参数即可正常使用&#xff1a; textmod { "ID&qu…

nvm安装

1、官网下载nvm压缩包 Releases coreybutler/nvm-windows (github.com)https://github.com/coreybutler/nvm-windows/releases 2、安装nvm cmd下查看nvm版本号 nvm version 3、配置镜像 在安装目录下找到settings.txt文件&#xff0c;追加淘宝镜像 node_mirror:https:/…

Java——封装(Encapsulation)

一、封装简介 1、封装是什么 封装&#xff08;Encapsulation&#xff09;是面向对象编程&#xff08;OOP&#xff09;中的一个基本概念&#xff0c;它指的是将对象的状态&#xff08;数据&#xff09;和行为&#xff08;方法&#xff09;绑定在一起&#xff0c;并对外隐藏对象…

websocket 安全通信

WebSocket 协议 WebSocket&#xff1a;在 2008 年诞生&#xff0c;2011 年成为国际标准。它允许服务器主动向客户端推送信息&#xff0c;客户端也可以主动向服务器发送信息&#xff0c;实现了真正的双向平等对话。它是一种在单个 TCP 连接上进行全双工通讯的协议&#xff0c;能…

【Python如何输入升高和体重判断你是偏胖还是偏瘦】

1、求体质指数得Python代码如下&#xff1a; # BMI&#xff08;Body Mass Index&#xff09;指数:简称体质指数&#xff0c; # 是国际上常用的衡量人体胖瘦程度以及是否健康的一个标准。 # 常用指标:BMI<18.5 偏瘦 18.5<MBI<24 正常 MBI>24 偏胖 # 计算公式:BMI…

express+vue 在线五子棋(一)

示例 在线体验地址五子棋&#xff0c;记得一定要再拉个人才能对战 本期难点 1、完成了五子棋的布局&#xff0c;判断游戏结束 2、基本的在线对战 3、游戏配套im(这个im的实现&#xff0c;请移步在线im) 下期安排 1、每步的倒计时设置 2、黑白棋分配由玩家自定义 3、新增旁观…

学习面向对象前--Java基础练习题2

买飞机票 需求 机票价格按照淡季旺季、头等舱和经济舱收费、输入机票原价、月份和头等舱或经济舱。 按照如下规则计算机票价格:旺季(5-18月)头等舱9折&#xff0c;经济舱8.5折&#xff0c;淡季(11月到来年4月)头等舱7折&#xff0c;经济舱6.5折。 逻辑 首先输入票价&#xff…

java spring注解的使用

Java Spring框架中的注解用于简化代码的编写和配置工作。它们提供了一种简洁、强大和灵活的方式来定义和配置Spring应用程序。 下面是一些常用的Java Spring注解的使用示例&#xff1a; Component: 标记一个类为Spring容器管理的Bean&#xff0c;可用于任何类。 Component p…

C++标准模板库STL介绍

STL的六大组成部分 STL&#xff08;Standard Template Library&#xff09;是 C 标准库中的一个重要组成部分&#xff0c;提供了丰富的通用数据结构和算法&#xff0c;使得 C 编程变得更加高效和方便。STL 包括了 6 大类组件&#xff0c;分别是算法&#xff08;Algorithm&…

# Kafka_深入探秘者(3):kafka 消费者

Kafka_深入探秘者&#xff08;3&#xff09;&#xff1a;kafka 消费者 一、kafka 消费者、消费组 1、Kafka 消费者是消费组的一部分&#xff0c;当多个消费者形成一个消费组来消费主题时&#xff0c;每个消费者会收到不同分区的消息。假设有一个 T1 主题&#xff0c;该主题有…

Web应用防火墙(WAF)(上:基础概念篇)

运维专题 Web应用防火墙&#xff08;WAF&#xff09;&#xff08;上&#xff1a;基础概念篇&#xff09; - 文章信息 - Author: 李俊才 (jcLee95) Visit me at CSDN: https://jclee95.blog.csdn.netMy WebSite&#xff1a;http://thispage.tech/Email: 291148484163.com. She…

pgAdmin后台命令执行漏洞(CVE-2023-5002)

​ 我们可以看到针对于漏洞 CVE-2022-4223&#xff0c;官方做了一定的修复措施。 web\pgadmin\misc_init_.py#validate_binary_path ​ 首先是添加了 login_required​ 进行权限校验。在 Flask 框架中&#xff0c;login_required​ 装饰器通常与 Flask-Login 扩展一起使用。…

LED恒流调光电路

LED等在工作的时候发热较大&#xff0c;所以通常选用铝基板作为底板&#xff1b;常用白色油墨。 LED必须在恒流源电路下工作&#xff0c;下图为最简单的恒流源&#xff1a;B极电压3.3V不变左下侧蓝色的为稳压二极管&#xff0c;由于BE极可以看做二极管&#xff0c;压降为0.7V&…

WDF驱动开发-WDF总线枚举(一)

支持在总线驱动程序中进行 PnP 和电源管理 某些设备永久插入系统&#xff0c;而其他设备可以在系统运行时插入和拔出电源。 总线驱动 必须识别并报告连接到其总线的设备&#xff0c;并且他们必须发现并报告系统中设备的到达和离开情况。 总线驱动程序标识和报告的设备称为总线…

OpenCV颜色检测

OpenCV颜色检测 前言策略分析根据颜色检测目标对象相关链接 前言 绿幕技术是一种经典的视频编辑技术&#xff0c;可以用于将人物置于不同的背景中。例如在电影制作中&#xff0c;技术的关键在于演员不能身着特定颜色的衣服(比如绿色)&#xff0c;站在只有绿色的背景前。然后&a…