0x00 Preface     [前言/简介]

接着上一篇文章，更新BEE-BOX A7题目，有不理解这些靶机是哪儿的小伙伴或者查看以前的篇幅，传送门：

https://mp.weixin.qq.com/mp/appmsgalbum?action=getalbum&album_id=1578925404365651969&__biz=MzUzODU3ODA0MA==#wechat_redirect

0x01 BEE-BOX习题：A8-Cross-Site Request Forgery (CSRF)

今天所更新的是A8-CSRF请求伪造，我们在学习的时候，首先要先理解他们的原理，这些漏洞是怎么来的，怎么进行触发，危害有多大。原理请移步：

https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369

注：本文尽量寻找通俗易懂原理，如果有不清楚等地方，可以看着靶机进行走一遍，我所做的靶机题目都是属于LOW，请大神勿喷。

0x02 A8-Cross-Site Request Forgery (CSRF)习题

1、CSRF (Change Password)

我们使用两个号两个浏览器来做实验。以bee用户为攻击者，A.I.M为受害者。Burpsuite对其进行抓包，然后使用自带的csrf工具生成一条链接。

假设受害者用户A.I.M.点击了此链接，那么密码就被更改了。

2、CSRF (Change Secret)

这个跟上一个其实是一样的，只不过是GET换成了POST。

3、CSRF (Transfer Amount)

跟上面也是一样，只不过是换成了金钱，但是还是一样的思路。没有做防护，导致可以被csrf。拿两个账号来进行测试就能测试出来，跟题目1一样就ok了。

0x03 summary 总结

A8写完了，总的来说，这个是最简单的，最快的了，属于比较简单的，逻辑上都是通用的。这个月暂停更新吧，年底了比较忙，需要弄得东西开始多了，A9-10就剩下两篇了，也快了...

0x04 结束语

感谢大哥们的对NOVASEC的支持点赞和关注，加入我们与萌新一起成长吧。

如有任何问题、建议、投稿请加NOVASEC-MOYU,以方便及时回复。

如果需要靶机，后台回复”小蜜蜂”即可获得资源。

本文始发于微信公众号（NOVASEC）：新手入门靶机BEE-BOX教程—第二章A8（九）