看提示:先登录:
登录抓包:HTTP,GET请求!!!!
这里我要做的是通过我自己的信息,修改别人的信息,以实现客户端请求伪造的攻击。
首先通过将阿伦的球队由76人修改为火箭,了解修改信息报文的结构!!!
由于该请求为GET请求,所以可以通过构造URL的方式,实现相应的请求。
URL地址为:
http://localhost/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=13676767767&add=rocket&email=allen%40pikachu.com&submit=submit
我这有个想法啊!
如果KOBE登录,KOBE点击了以上的链接!!!
那是不是KOBE的所有信息都会被改成艾弗森的信息!!!
咱们试一下!!!
登录成功!!!
BINGO!!!
确实所有的信息都被修改!!!
CSRF(跨站请求伪造)攻击达成!!!!
有点简单啊!!!!
来源:freebuf.com 2021-07-20 08:09:44 by: 知非知非知非
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册