Web安全测试系列---跨站请求伪造（CSRF）

Posted 2021-04-25 龙腾测试

1.4 跨站请求伪造（CSRF）

概念：Cross-Site request forgery，利用用户已登录的身份，在用户毫不知情的情况下，以用户的名义完成非法操作。

CSRF攻击迫使终端用户在通过验证后web应用中执行不必要的操作。在社会工程帮助下（如通过电子邮件/聊天发送的链接），攻击者可能会迫使Web应用程序用户执行攻击者所选择的行动。

危害：执行恶意操作（“被转账”、“被发表垃圾评论”等）、制造蠕虫等

漏洞影响：当一个成功的CSRF漏洞的目标是普通用户时，它能够危害终端用户的数据操作。但如果最终的目标用户是管理员账户，一个CERF攻击可以损害整个Web应用程序

 

示例：

如下，正常修改密码页面，New password输入test，Confirm new password输入test，然后提交，密码修改成功。

 

我们发现，这个修改密码的请求为“http://10.4.70.188/DVWA-1.9/vulnerabilities/csrf/?password_new=test&password_conf=test&Change=Change”，此时，我们打开新的窗口，修改password_new=password和password_conf=password，访问显示如下：

此时，密码已经被修改成功，如果该URL被黑客通过电子邮件或其他途径精心伪造，诱惑你触发点击，则可直接修改当前用户配置，后果不堪设想。

-----------------------------END---------------------------------

龙腾测试年前最后一批班开课时间：

软件测试行业的现状：无论公司用不用自动化和性能，面试都会要求你会，所以不努力你还能走多远？

1、【python测试开发班】(16周,每周末一天)-----12月中旬开班
python语言+爬虫+web前端技术+django+echarts报表统计+jenkins二次开发平台+mock平台+接口测试平 台开发

2、【java测试开发班】(20周每周末一天)-----12月底开班
Java语言+mysql+前端技术+javaweb核心+spring+mybatis+maven+junit(junit二次开发实战+jenkins二 次开发部署平台+mock平台开发+测试管理平台开发);

3、【环境搭建及部署】（3天每周一天）----12月初开班
linux基础+docker部署+shell命令+常见网站的架构介绍+nginx+tomcat+zookeeper+mq+redis+基于zookeeper 的环境搭建
4、【高级web安全测试实战班】(10周每周日一天）

所有报测试开发课程的学员都赠送环境搭建课程（这一期赠送）

龙腾公开课群：559447683

北京可报线下，全国可报网络，报名联系QQ：157766255/147772928！