Pikachu靶机系列之CSRF(Cross-Site Re
概述
CSRF(get)
但前提是,该用户接受到链接后他会点击并进行账号密码登录,或者说用户本地存在身份认证信息(Cookie),那么他的个人信息就会被修改为我们链接里面的信息。
表单不会做?也不想搭一个服务器?但又想体验一下过程,不怕 burpsuit刚好有这个功能
可能刚开始入门,会总是对这个“搭建服务器”总是充满质疑,想不明白,其实是这个意思:你自己虚拟机靶机的IP只是私有IP,别人是访问不了的,你要别人能访问到你精心构造的网页陷阱,就必须得有一个属于你自己运行网站的web服务器,当受害者访问了你精心构造的网页,被构造的数据就会被提交到存在CSRF漏洞的服务器,导致用户信息被修改。
可能你又有疑问了,是怎么把数据提交到存在CSRF漏洞的服务器?就比如下图,action对应的http是我存在漏洞的靶机IP,只要别人一点击,我构造好的数据就会发送过去给存在CSRF漏洞的服务器。那么受害者信息就会被更改了
