新手入门靶机BEE-BOX教程—第二章A8(九)

  • A+
所属分类:安全文章

新手入门靶机BEE-BOX教程—第二章A8(九)


0x00 Preface     [前言/简介]

接着上一篇文章,更新BEE-BOX A7题目,有不理解这些靶机是哪儿的小伙伴或者查看以前的篇幅,传送门:

https://mp.weixin.qq.com/mp/appmsgalbum?action=getalbum&album_id=1578925404365651969&__biz=MzUzODU3ODA0MA==#wechat_redirect


0x01 BEE-BOX习题:A8-Cross-Site Request Forgery (CSRF)

新手入门靶机BEE-BOX教程—第二章A8(九)

今天所更新的是A8-CSRF请求伪造,我们在学习的时候,首先要先理解他们的原理,这些漏洞是怎么来的,怎么进行触发,危害有多大。原理请移步:

https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369


注:本文尽量寻找通俗易懂原理,如果有不清楚等地方,可以看着靶机进行走一遍,我所做的靶机题目都是属于LOW,请大神勿喷。


0x02 A8-Cross-Site Request Forgery (CSRF)习题


1、CSRF (Change Password)

我们使用两个号两个浏览器来做实验。以bee用户为攻击者,A.I.M为受害者。Burpsuite对其进行抓包,然后使用自带的csrf工具生成一条链接。

新手入门靶机BEE-BOX教程—第二章A8(九)

新手入门靶机BEE-BOX教程—第二章A8(九)

新手入门靶机BEE-BOX教程—第二章A8(九)


假设受害者用户A.I.M.点击了此链接,那么密码就被更改了。新手入门靶机BEE-BOX教程—第二章A8(九)


2、CSRF (Change Secret)

这个跟上一个其实是一样的,只不过是GET换成了POST。


3、CSRF (Transfer Amount)

跟上面也是一样,只不过是换成了金钱,但是还是一样的思路。没有做防护,导致可以被csrf。拿两个账号来进行测试就能测试出来,跟题目1一样就ok了。


0x03 summary 总结

A8写完了,总的来说,这个是最简单的,最快的了,属于比较简单的,逻辑上都是通用的。这个月暂停更新吧,年底了比较忙,需要弄得东西开始多了,A9-10就剩下两篇了,也快了...


0x04 结束语

感谢大哥们的对NOVASEC的支持点赞和关注,加入我们与萌新一起成长吧。

如有任何问题、建议、投稿请加NOVASEC-MOYU,以方便及时回复。

新手入门靶机BEE-BOX教程—第二章A8(九)

如果需要靶机,后台回复小蜜蜂即可获得资源。

本文始发于微信公众号(NOVASEC):新手入门靶机BEE-BOX教程—第二章A8(九)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: