关于csrf漏洞与xss漏洞的区别,主要在于其攻击方式的不同,
xss漏洞主要是通过获取用户权限,登录后台,来造成破坏。
而csrf漏洞主要通过绕过用户权限,来通过恶意链接来改掉用户信息。
下面,我们在pikachu靶场中演示如何利用csrf漏洞。
1,
登录账号。
之后修改账号,同时利用bp抓包,来判断修改用户信息是否设置一些保护措施。
发现其参数直接用get提交,并且没做什么认证
可以直接设置恶意链接来攻击。
https://127.0.0.1/pikachu/pikachu/vul/csrf/csrfget/csrf_get_edit.php(修改信息)
后面加上要修改的内容就可以了。
只要对方在登录这个网站后,点击这个链接,对方的用户信息便被篡改了
这便是成功篡改的用户信息。