#笔记（二十四）#dvwa漏洞CSRF wp

CSRF

low

看代码,只要password_new=password_conf就可以了，也没什么过滤
自己先输一个试试，看到了url的格式
然后自己修改：http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#

medium

看源代码，加上了函数校验HTTP_REFERER是否包含HOST地址

if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {

#笔记（二十四）#dvwa漏洞CSRF wp

其实最开始我的就包含，但以为是测试，所以可以构造一个页面，上一个虚假网址
可以看到上图右面显示password changed

high

看代码，要获取要获取token
emmmm对于我这种小白，这样又结合了xss的有点难，所以留待思考

相关文章：

2021-12-18
2021-12-06
2022-12-23
2021-08-01
2021-06-07
2022-12-23
2021-05-17

猜你喜欢

2021-10-10
2021-07-16
2021-12-25
2022-01-14
2022-12-23
2021-12-12
2021-12-22

相关资源

下载 2023-03-31
下载 2023-03-29
下载 2022-12-18

相似解决方案

热门标签

Java Python linux javascript Mysql C# Docker 算法前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库数据结构大数据 js 机器学习微服务 Android Go 程序员面试 JVM ASP.net core 云原生人工智能后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习多线程 React 架构 devops 爬虫云计算 Spring Boot LeetCode