web渗透—Csrf

发布于 2020-05-28  111 次阅读


平台DVWA

Dvwa-Csrf低等级

源码

当我们进行更改密码时,看url,更改其中的参数既可以达到修改密码的目的

直接构造一个页面,构造一个短连接。

在本地运行csrf.php

点击刷新,此时的密码已经由111改为了123456

 

Dvwa-Csrf中等级

源码

其判断了HTTP_REFERER中的是否有SERVER_NAME中host的内容,如果有才可以修改,所以把csrf.html更名为120.92.13.235.html便可

刷新密码仍旧可以更新


Everything is alright