当前位置: 首页 > ops >正文

前端漏洞(上)- CSRF漏洞

ops 2025/8/25 9:38:58

漏洞复现目的:熟悉CSRF漏洞原理

漏洞介绍:

跨站请求伪造漏洞。当网站的功能存在某些缺陷时,可允许攻击者预先构造请求诱导其他用户提交该请求并产生危害。通常POST形式的请求会被改写为AJAX(一种可利用JavaScript自动完成异步交互的技术)形式。这种情况下只需要受害者在登录状态下单击一下链接就能够自动发送POST请求。

搭建环境:docker环境

命令:yml 文件目录下 执行 docker-compose up -d 直接拉取镜像

1、原理图:

2、创建镜像http://127.0.0.1:8983/

3、访问:http://127.0.0.1:8983/,出现如下界面即位创建成功

4、访问:http://127.0.0.1:8983/luoji/,使用user1用户登录,发送修改密码的请求。http://127.0.0.1:8983/luoji/

5、使用BP抓取该数据包,利用BP自带的插件构造CSRFPoC。(方法:选中需要构造PoC的位置右键选择:Engagement tools,然后选择CSRFPoC)

6、然后将生成的内容保存到CSRF.html文件中

7、以上工作完成后,登录管理员账号(admin1,密码同账号),然后在浏览器访问刚才的html文件,点击Submit request,会发现admin1的密码已经更改

8、注意:

登录admin1用户后应该在同一浏览器打开html文件,否则无法生效

漏洞复现文件网盘链接:
https://pan.baidu.com/s/1-KuNag1Uab9cHXapmmU1MA?pwd=z7qp 提取码: z7qp

http://www.xdnf.cn/news/18609.html

相关文章:

  • C++ Core Guidelines: 最佳实践与深入解析
  • .net9 解析 jwt 详解
  • Go语言 Hello World 实例
  • RabbitMQ--消费端异常处理与 Spring Retry
  • 2025最新ncm转MP3,网易云ncm转mp3格式,ncm转mp3工具!
  • ThinkPHP8学习篇(四):请求和响应
  • VSCode无权访问扩展市场
  • 【数据结构】-5- 顺序表 (下)
  • 【JavaEE】了解synchronized
  • Java 基础学习总结(211)—— Apache Commons ValidationUtils:让参数校验从 “体力活“ 变 “优雅事“
  • 电动车运行原理与最新人工智能驾驶技术在电动车上的应用展望:从基础动力系统到L5级完全自动驾驶的技术深度解析
  • 大语言模型的自动驾驶 LMDrive/DriveVLM-Dual
  • Kubernetes部署Prometheus+Grafana 监控系统NFS存储方案
  • Spark04-MLib library01-机器学习的介绍
  • Spring创建的方式
  • 在 Ubuntu 24.04 或 22.04 LTS 服务器上安装、配置和使用 Fail2ban
  • 【LLM】DeepSeek-V3.1-Think模型相关细节
  • Android - 用Scrcpy 将手机投屏到Windows电脑上
  • MySQL学习记录-基础知识及SQL语句
  • SSRF的学习笔记
  • React useState 全面深入解析
  • 6.2 el-menu
  • Axure RP 9的安装
  • 如何让FastAPI在百万级任务处理中依然游刃有余?
  • Postman参数类型、功能、用途及 后端接口接收详解【接口调试工具】
  • 【C++】函数返回方式详解:传值、传引用与传地址
  • Linux 824 shell:expect
  • 今日科技热点 | AI加速创新,5G与量子计算引领未来
  • PHP - 实例属性访问与静态方法调用的性能差异解析
  • B站视频字幕提取工具