記一次失敗 本地 csrf 演示文稿

CSRF 這個漏洞，就是截取數據包中的數值，進行修改，然後讓別人打開。

我簡單的先說一下，假如你在網站後台添加管理員用戶時，你添加用戶這個過程到處理，都是一個數據包，如果我們截取這個數據包，把這個構造改成添加我們自己的管理員賬號，那正真的管理員，如果點擊我構造的這個數據包，不就自己幫我們添加了賬號密碼了？

首先，我這是一次失敗的構造。。。。

先打開一個自動化構造CSRF的軟體。監聽數據包。

然後我們打開一個網站後台，進行添加用戶。。。

成功添加一個名叫 shiyan 的管理員。。。

然後我們利用工具開始構造。。。

構造完就自動生成一個網頁，裡面是這樣子的。。。

然後，我們隨便扔到這個網站的根目錄。

把這個網址發到網站留言板上，讓管理員點擊。。。

我們自己進後台查看下。。。

進去看看。。。

#（吐血。。。。）

不存在漏洞。。。。

總結：

算求了，，，，反正失敗了，，，，還有個那個什麼漏洞，我也不搞了，，，，，md。。。

繼續下一步的學習算了，，，估計近期，我會不發記錄了，，，開始學習了，，，

推薦閱讀：