企业官网建设流程全解析

加快网站速度,忘记wordpress,wordpress安装幻灯片插件,专业建设专题网站一.什么是CSRF漏洞及利用流程CSRF(cross site request forgery)跨站(客户端)请求伪造#xff0c;指攻击者在用户信息未失效的情况下(如cookie等信息)#xff0c;诱导用户点击某些链接#xff0c;让用户在不知情的情况下#xff0c;以用户身份像服务器发送请求#xff0c;执…一.什么是CSRF漏洞及利用流程CSRF(cross site request forgery)跨站(客户端)请求伪造指攻击者在用户信息未失效的情况下(如cookie等信息)诱导用户点击某些链接让用户在不知情的情况下以用户身份像服务器发送请求执行某些操作利用用户cookie,冒充用户身份以用户的身份发送恶意请求条件1.用户未退出目标网站 2.用户访问恶意网站 3.在同一浏览器二.CSRF的分类GET型CSRF将恶意代码拼接到url类诱导用户点击链接执行操作POST型CSRF表单提交诱导用户点击含恶意代码的表单进行提交执行操作三.实践本地搭建dvwa靶场时记得设置好域名hosts解析DVWA-LOW方法一.对修改界面进行抓包生成payload将bp作为危险网站用户点击后执行修改密码的操作方法二.含burpsuite的链接容易被识别可以自行搭建网站为了让网站更真实可以让ai基于代码生成红包页面诱导用户点击DVWA-Medium改为中等级再次使用钓鱼网站无效对操作进行拦截查看区别发现代码对referer进行了限制所以钓鱼网站经拦截后需对referer进行修改DVWA-High观察源代码发现对正常网站进行拦截时多了一个user_token参数而恶意链接的请求中没有方法一.bp进行拦截修改,使用组件对user_token进行获取方法二.和xss打组合拳利用xss漏洞获取到user_tokenDVWA的user_token和用户会话强绑定且具有时效性修改密码时拦截的token已失效且会话不匹配xss获取到token实时且绑定受害者会话。CSRF Token Tracker获取到的user_token值会变实时同步最新有效的token并匹配对应有效会话