目录

什么是同源策略

什么是csrf

CSRF 攻击会产生什么影响？

CSRF漏洞low等级复现

---

什么是同源策略

协议相同

域名相同

端口相同

什么是csrf

        跨站请求伪造（也称为 CSRF）是一种 Web 安全漏洞，允许攻击者诱导用户执行他们不打算执行的操作。它允许攻击者部分规避同源策略，该策略旨在防止不同网站相互干扰。

从上图能够看出，要完毕一次CSRF攻击，受害者必须依次完毕两个步骤：

        登录受信任站点A，并在本地生成Cookie。

        在不登出A的情况下，访问危急站点B。

CSRF 攻击会产生什么影响？

        在成功的 CSRF 攻击中，攻击者会导致受害用户无意中执行某项操作。例如，这可能是更改其帐户上的电子邮件地址、更改其密码或进行资金转账。根据操作的性质，攻击者可能能够完全控制用户的帐户。如果受感染的用户在应用程序中具有特权角色，那么攻击者可能能够完全控制应用程序的所有数据和功能。

CSRF漏洞low等级复现

1.将DVWA等级调整为低等级

2.打开CSRF攻击页面，发现可以用来修改密码

3.对该页面进行密码修改如图

4.此时我们发现URL为

http://127.0.0.1/dvwa/vulnerabilities/csrf/password_new=123456&password_conf=123456&Change=Change#

5.我们将URL修改为

http://192.168.10.102/DVWA/vulnerabilities/csrf/password_new=password&password_conf=password&Change=Change#在浏览器上访问修改好的URL，回到原DVWA网站后发现该网站密码被修改

7.用修改后的密码进行登录，发现登录成功

CSRF实验

第一步：访问login.php （登录页面）

第二步：进行登录

第三步：访问manage.php新建管理员