如何進行CSRF整理分析，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

創(chuàng)新互聯(lián)服務(wù)項目包括達川網(wǎng)站建設(shè)、達川網(wǎng)站制作、達川網(wǎng)頁制作以及達川網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，達川網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到達川省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

簡介

每個漏洞玩好了都是大佬，希望每個人都能學(xué)有所成

免責(zé)聲明：

禁止對真實未授權(quán)網(wǎng)站進行測試，后果自負

一、原理

當(dāng)黑客發(fā)現(xiàn)某網(wǎng)站存在CSRF漏洞，并且構(gòu)造攻擊參數(shù)將payload制作成網(wǎng)頁，用戶訪問存在CSRF漏洞的網(wǎng)站，并且登錄到后臺，獲取cookie，此時黑客發(fā)送帶有payload的網(wǎng)址給用戶，用戶同時打開黑客所發(fā)來的網(wǎng)址，執(zhí)行了payload，則造成了一次CSRF攻擊

形成原因：主要是漏洞網(wǎng)站沒有經(jīng)過二次驗證，和用戶在瀏覽漏洞網(wǎng)站的時候，同時點擊了hack制造的payload

二、與XSS的區(qū)別

XSS：hack發(fā)現(xiàn)存在xss漏洞的網(wǎng)站—>制造payload—>將帶有payload的網(wǎng)址發(fā)送給用戶誘導(dǎo)點擊—>執(zhí)行payload獲取黑客獲取到敏感信息—>hack利用敏感信息進行操作數(shù)據(jù)修改

CSRF: hack發(fā)現(xiàn)存在CSRF漏洞的網(wǎng)站—>制造payload—>將帶有payload的網(wǎng)址發(fā)送給用戶誘導(dǎo)點擊—>用戶瀏覽了存在CSRF漏洞網(wǎng)站的情況下同時點擊hack制作的payload鏈接，執(zhí)行payload并且修改數(shù)據(jù)

區(qū)別：XSS是由hack誘導(dǎo)用戶點擊之后獲取敏感信息，hack自己通過敏感信息進行下一步工具

區(qū)別：CSRF由hack構(gòu)造payload誘導(dǎo)用戶點擊，用戶點擊的過程中同時瀏覽了存在漏洞的網(wǎng)站，由用戶發(fā)起hack所制作的payload請求，修改信息

三、漏洞挖掘

添加信息

刪除信息

修改信息

一切可執(zhí)行的地方，并且沒有進行二次驗證碼和token驗證的地方，就有可能存在CSRF

四、漏洞利用

例1：發(fā)現(xiàn)DVWA靶場存在CSRF漏洞攻擊特征

通過BP抓包和BP的制作CSRF代碼的功能進行payload的制作

將代碼復(fù)制出來制作成html文件，并發(fā)送給客戶端誘使其執(zhí)行

用戶瀏覽同時瀏覽DVWA靶場和hack制作的payload的網(wǎng)頁時，直接進行了修改密碼請求，并且成功

最不可能存在的也是最基本的CSRF攻擊方:

例2：上面是POST方式提交的，那么GET方式改如何制作payload呢

制作一個超鏈接，單數(shù)就是服務(wù)器請求地址，加修改的參數(shù)，當(dāng)用戶請求的時候就發(fā)起了一次攻擊

例3：還有一種是通過post發(fā)起請求，然后將input請求標(biāo)簽隱藏在iframe標(biāo)簽中，并且隱藏，然后通過js代碼來調(diào)取和執(zhí)行這次標(biāo)簽的請求，之后跳轉(zhuǎn)到用戶點擊的正常頁面。這樣可以盡可能少的產(chǎn)生懷疑

看完上述內(nèi)容，你們掌握如何進行CSRF整理分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

網(wǎng)頁標(biāo)題：如何進行CSRF整理分析
URL分享：http://chinadenli.net/article48/joiphp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計公司、定制網(wǎng)站、域名注冊、品牌網(wǎng)站設(shè)計、電子商務(wù)、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)