CSRF 與SSRF基礎
1.0 CSRF簡介
CSRF,即跨站請求偽造,也可以縮寫為XSRF,透過此漏洞,攻擊者可以在目標不知情的情況下以
目標的名義偽造請求,從而執行惡意操作
CSRF攻擊有兩個條件:
1 目標登陸了網站 能夠執行網站的功能
2 目標使用者訪問了攻擊者的URL
我們透過讓目標觸發我們模擬的url達到以其身份發出我們想要的資料的效果。
這要求我們對正常操作時應該傳送什麼資料比較瞭解,在這我們可以使用CSRFtester來進行資料
包捕獲,捕捉到資料後可以自動生成傳送這些資料的HTML程式碼,我們誘導受害者觸發改該html代
碼即可以其身份幫我們傳送這些資料