记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

CSRF漏洞挖掘技巧

2015-09-29 01:15

CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding。

例A:

针对某个人进行CSRF POST攻击,需要诱导用户点击所以称 one click attack

首先假定有2个用户,分别为 A用户 和 B用户

A用户申请的ID为1 ,B用户申请的ID为2

A用户修改个人资料的URL假设为:http://www.xxx.com/userinfo.php?id=1

POST参数为name

如果A用户知道B用户ID为2且A用户通过修改ID不能访问到B用户的时候,可以进行CSRF攻击

首先建个页面,页面代码如下:

别人只要点击链接,即可触发漏洞

接着讲CSRF GET 攻击

也用例子说明(该例子来自乌云YKS )

新浪SAE普通开发者认证CSRF

1.在邀请链接后面加上&makesure=1,然后到新浪开发者论坛回复插入下面的代码,别人在登陆了SAE的情况下打开有该代码的帖子会自动邀请指定用户。


知识来源: www.secbox.cn/hacker/5842.html

阅读:149619 | 评论:0 | 标签:黑客 CSRF 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“CSRF漏洞挖掘技巧”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

ANNOUNCE

ADS

标签云