简单了解WEB漏洞-CSRF及SSRF漏洞

CSRF

CSRF(跨站请求伪造)概述

Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。

演示案例

pikschu靶场

image-20211124202123787

输入账号密码 kobe 123456

修改个人信息

image-20211124202417297

抓包

image-20211124202633599

复制红框中的路径

使用本地虚拟机演示攻击者服务器

编写html代码伪造网页(注意其中数据已经修改)