CSRF和XSS的区别在于
XSS盗取用户cookie然后进行攻击者想要的操作
CSRF是让用户执行攻击者想要的操作
CSRF漏洞形成的条件
1.被害用户已经完成身份人认证
2.新请求的提交不需要重新身份认证
3.攻击者必须了解web/app请求的参数构造
4.引导用户触发攻击
这里用pikachu的靶场进行说明
1.GET型CSRF
用户kevin已经登陆,且修改信息并不需要重新验证
这是提交修改信息之后利用burp抓到的包,可以看到需要修改的信息都在url当中
那么我们用kobe用户登录,并在登录期间访问
这个链接是kevin修改信息的数据包,访问后可以看到kobe的个人信息变成了上面构造的数据
当burp抓包时可以用burp生成csrf的poc,保存为html文档,让kobe去点击,结果和上面链接的效果相同
2.POST型CSRF
标签:CSRF,用户,burp,csrf,攻击者,kobe From: https://www.cnblogs.com/ykxykx/p/16647908.html