A8站源码交易平台 渗透检验:通过Jmeter完结CSRF(Cross-site request forgery)跨站央求编造侵犯

摘要:登录网站,经过fiddler抓包东西,获取登录成功后的恳求头中的cookie值。我们必定古怪,分明拜访主页的时分就现已生成了cookie值,为什么还登录呢?尽管cookie值在翻开主页时就现已生成,但此刻的值未与详细用户相关,最多为游客的cookie值,因许多权限登录成功后才干拜访,只要登录成功后才会将cookie值与用户进行相关

CSRF进犯原理
CSRF(Cross-site requestforgery跨站恳求假造,原理进犯者经过伪装成受信赖用户向方针服务发送恳求完成进犯。

进犯进程如下
生成cookie:用户A经过输入账号/暗码登录网站web1,此刻浏览器将登录状况记录到本地cookie中;
获取cookie:进犯中构建一条歹意网站web2的链接,受害者翻开歹意链接后,将把本地保存的cookie信息送到歹意网站web2;
假造进犯:网站web2经过收到的用户A的cookie值,向网站web1建议歹意恳求,例如转账付出,获取身份信息等意图。

使用到的东西:fiddler抓包东西,Jmeter 

A8站源码交易平台


进犯过程
1,获取cookie值
登录网站,经过fiddler抓包东西,获取登录成功后的恳求头中的cookie值。我们必定古怪,分明拜访主页的时分就现已生成了cookie值,为什么还登录呢?尽管cookie值在翻开主页时就现已生成,但此刻的值未与详细用户相关,最多为游客的cookie值,因许多权限登录成功后才干拜访,只要登录成功后才会将cookie值与用户进行相关。A8站源码交易平台

1.png



2,完成CSRF进犯
1)在Jmeter中增加“HTTP Cookie管理器”;


2.png


填写cookie值,一般是JSESSIONID和域名;


3.png


2)增加进犯恳求
增加进行进犯的方针恳求地址和恳求参数;A8站源码交易平台

4.png


3)建议进犯
履行恳求,检查成果。


5.png


成功施行进犯。
A8站源码交易平台


  • 全部评论(0)
最新发布的资讯信息
【A8站-免费源码分享|直播源码】直播系统源码开发:关于安卓开发工具和obs直播推流(2020-10-30 09:41)
【计算机/互联网|】【独家修复】用户定制版短视频点赞系统,支持抖音+快手+刷宝+微视等所有主流短视频评论系统源码(2020-10-26 16:34)
【技术宅-为技术而疯|网站架设教程】【独家首发】最新更新已对接短信2020全新抖音快手点赞任务系统霸屏天下小红书头条威客兼职完整搭建架设视频教程(2020-10-25 13:56)
【技术宅-为技术而疯|网站架设教程】最新可用个人发卡网系统源码完整搭建架设视频教程(2020-10-25 10:53)
【技术宅-为技术而疯|网站架设教程】独家更新全新V10抢单系统唯品会京东淘宝自动抢单区块系统源码全开源抢单收单接单返利+搭建架设完整视频教程(2020-10-25 10:52)
【计算机/互联网|】柔丫纸尿裤云仓系统源码部署(2020-10-15 18:13)
【计算机/互联网|】侏罗纪软件模式定制开发(2020-10-14 15:33)
【计算机/互联网|】S2b2C供应商系统 营销闭环(2020-10-10 17:46)
【计算机/互联网|程序设计开发】盛都汇系统奖励机制(2020-10-10 17:20)
【A8站-免费源码分享|网站源码】积分商城系统APP开发(2020-09-23 14:56)
联系我们
Q Q:3101359898 点击直接对话
电话:18580901894
邮箱:admin#a8zhan.com
时间:09:00 - 24:00
手机二维码 访问手机版
返回顶部