某公益的csrf改性别！略略略.

Posted 2021-04-25 不爱吃韭菜的韭菜

继续转发csdn.....早期人类征服web漏洞 珍贵记录，hhh，看的好尴尬。

搞web安全，怎么能不挖一个csrf改性别呢？发出yin笑...

1.注册两个测试账号先：

账号test001
密码test001
手机号13333333333
邮箱1333333333@qq.com

账号test002

密码test002
手机号13333333332
邮箱1333333332@qq.com

2.先看看test002的性别，是保密的：

3.然后登test001,点击test001的修改资料部分

4.把性别改成女，略略略，避免手机号、邮箱冲突，改成了：

5.点提交，这个时候用burp抓包，用burp自带的功能生成CSRF的POC（还可以生成自动提交的）

6.把这个poc保存在你的服务器上，我图方便就放本地了= =

7.这个时候模仿test002被攻击的场景，我们登录test002的账号，然后访问127.0.0.1/1.html

8.为了熟悉js，我选择自己手动加上 自动提交代码：（给submit加个值，再写个js代码）

9.我们再次访问127.0.0.1/1.html发现<

毕竟是挖洞嘛。假如有需要你还可以写个假的404界面，对url短编码免得被发现。

10.然后去看test002的资料，重新点击我的资料，发现资料里但凡带中文的，都没有被更改，只有手机号和邮箱被改了，为啥子呢？

11.看上面burp生成的POC= =我认为是编码问题导致的，然后自己用这个网站编码了一下：

但是发现还是不行，那么我就直接输入女吧 = =还是不行

12.但是！！！！我复制网页上的女字，粘贴过来就行了！！！离谱！！！肯定是编码问题。

13.可以看到上面的@ 也没有正常显示，只好手动改了

原文链接：

https://blog.csdn.net/qq_43622442/article/details/105151524