文章目录

  • 1 CSRF
  • 2 HTTP头部之host和referer
    • 2.1 host
    • 2.2 referer
  • 3 开始抓包
    • 3.1 先一直测试到最后观察
    • 3.2 修改referer或host,开始渗透

1 CSRF

CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。
本文的靶场中不允许外部链接访问管理员后台,进来的url(referrer)和curl即页面地址的url
程序中只判断了host的ip、port和referer的ip、port是否一致。利用这一点完成请求伪造。

2 HTTP头部之host和referer

【Web安全】利用burp抓包和CSRF伪造进入admin真实后台相关推荐

  1. 利用Fiddler抓包调试工具,实现mock数据特殊场景深度测试(二)

    大家好,我是王大力,上一篇文章Fiddler响应拦截数据篡改,实现特殊场景深度测试(一)我们和大家聊了如何利用fiddler抓包工具,设置响应断点,拦截响应,来篡改响应数据,欺骗前端,实现前端想要的展 ...

  2. 夜神模拟器之burp抓包

    引言 如果你要抓取某APP的数据包按照其他文章那样直接导出burp.rec并安装是没法抓取app数据包的 什么是SSL Pinning?这里引用一下大佬的解释 (11条消息) App 抓包提示网络异常 ...

  3. burp抓包mumu模拟器

    1.生成android系统证书 step1:burp导出der证书 step2:生成pem格式证书 openssl x509 -inform DER -in mybpcert.der -out Por ...

  4. 【计算机网络】 课程大作业:利用Wireshark抓包并进行分析

    目录 一:任务目的 二:任务内容 三:提交形式及时间 四:步骤 五.感悟 一:任务目的 (1)了解计算机网络TCP/IP的分层实现过程,了解不同层次PDU的逐层封装与解封过程: (2)熟悉网络通信的实 ...

  5. 利用fiddler抓包爬取微信小程序数据

    利用fiddler抓包爬取微信小程序数据 1.背景原理 有些微信小程序无法在PC端进行访问 原因 判断非微信'内嵌浏览器',则禁止访问 解决方法 模拟微信'内嵌浏览器'进行访问,需要获取的数据有:Us ...

  6. 计算机网络抓包设计,计算机网络实验利用wireshark抓包工具抓包

    计算机网络实验利用wireshark抓包工具抓包 计算机网络实验[利用wireshark抓包工具抓包] 一.实验名称 使用网络协议分析仪 Wireshark 二.实验目的 1.掌握安装和配置网络协议分 ...

  7. Burp抓包经常出现detectportal.firefox.com解决办法(附图)

    Burp抓包经常出现detectportal.firefox.com解决办法 一.问题 二.解决办法 环境:win10 工具:Firefox浏览器 一.问题 在firefox用FoxyProxy St ...

  8. 利用WIRShark抓包手机4G网络数据

    利用WireShark抓包iPhone手机4G网络数据 将iPhone 用数据线和mac 连接,获取iPhone的UDID mac 安装wireshark 并打开运行 创建虚拟网卡 rvictl -s ...

  9. Android中利用手机抓包的方法,经典篇

    在移动逆向分析以及 App 开发的时候,总会需要对其网络行为进行监控测试,本文总结一些抓包思路,并对其使用方法进行实践 笔者认为在抓包界,Wireshark 应该算是综合排名第一的工具(其实 Wire ...

最新文章

  1. SpringBoot配置文件YAML配置注入(详解)
  2. cpp中sizeof与指针
  3. 线程堆栈大小 pthread_attr_setstacksize 的使用
  4. CC攻击工具list
  5. DPDK加速I/O虚拟化
  6. 快速找到thtmlbUtil的定义位置
  7. php 图片无法删除,php如何删除上传的图片
  8. 5渲染判断_云渲染怎么收费,5大云渲染平台实测,您选对了吗?
  9. distinct关键字
  10. 二开的精美UI站长源码分享论坛网站源码 可切换皮肤界面
  11. 【前端】【element】el-progress组件使用文档补充——大小调整与数字颜色
  12. 面部识别 vs 情绪状态,你还能守住自己的秘密吗?
  13. mysql--创建表,插入数据,修改表名,删除表,简单查询/内连接、左/右连接
  14. M1支持 Accusonus ERA Bundle for mac(音频降噪消除去混音插件包)
  15. 非专业人士观点(3)不要假如
  16. 学了N年英语,你学会翻译了吗?——最基本的数据库连接
  17. 用计算机分析卫星云图 进行实时天气,气象卫星云图在地面气象观测中的运用...
  18. 【Python-二分法-查找重复值】
  19. 【Win10 + Ubuntu 16.04/18.04双系统 + 双硬盘/单硬盘 安装】传统意义双系统
  20. 国内外php商城系统 开源

热门文章

  1. pandas获取数据行号,删除行数据
  2. variables needed for gradient computation has been modified by an inplace operation
  3. python 随机打乱样本
  4. _matroska_decode_buffer in
  5. OpenCV GPU 简单遍历图像
  6. 青龙羊毛——果园合集(快手+抖音)(教程)
  7. scala java funtion1_当我在ScalaIDE中运行代码时,为什么要获取`java.lang.NoClassDefFoundError:scala / Function1`?...
  8. 怎么UI数组惊醒初始化 c语言,C语言教案7-数组.ppt
  9. java增删改查实例源码_Spring Data JPA 实现简单的CRUD增删改查源码案例
  10. 随着浏览器滚动,页面组件跟着滚动的效果