如何进行CSRF整理分析

如何进行CSRF整理分析，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。

创新互联服务项目包括达川网站建设、达川网站制作、达川网页制作以及达川网络营销策划等。多年来，我们专注于互联网行业，利用自身积累的技术优势、行业经验、深度合作伙伴关系等，向广大中小型企业、政府机构等提供互联网行业的解决方案，达川网站推广取得了明显的社会效益与经济效益。目前，我们服务的客户以成都为中心已经辐射到达川省份的部分城市，未来相信会继续扩大服务区域并继续获得客户的支持与信任！

简介

每个漏洞玩好了都是大佬，希望每个人都能学有所成

免责声明：

禁止对真实未授权网站进行测试，后果自负

一、原理

当黑客发现某网站存在CSRF漏洞，并且构造攻击参数将payload制作成网页，用户访问存在CSRF漏洞的网站，并且登录到后台，获取cookie，此时黑客发送带有payload的网址给用户，用户同时打开黑客所发来的网址，执行了payload，则造成了一次CSRF攻击

形成原因：主要是漏洞网站没有经过二次验证，和用户在浏览漏洞网站的时候，同时点击了hack制造的payload

二、与XSS的区别

XSS：hack发现存在xss漏洞的网站—>制造payload—>将带有payload的网址发送给用户诱导点击—>执行payload获取黑客获取到敏感信息—>hack利用敏感信息进行操作数据修改

CSRF: hack发现存在CSRF漏洞的网站—>制造payload—>将带有payload的网址发送给用户诱导点击—>用户浏览了存在CSRF漏洞网站的情况下同时点击hack制作的payload链接，执行payload并且修改数据

区别：XSS是由hack诱导用户点击之后获取敏感信息，hack自己通过敏感信息进行下一步工具

区别：CSRF由hack构造payload诱导用户点击，用户点击的过程中同时浏览了存在漏洞的网站，由用户发起hack所制作的payload请求，修改信息

三、漏洞挖掘

添加信息

删除信息

修改信息

一切可执行的地方，并且没有进行二次验证码和token验证的地方，就有可能存在CSRF

四、漏洞利用

例1：发现DVWA靶场存在CSRF漏洞攻击特征

通过BP抓包和BP的制作CSRF代码的功能进行payload的制作

将代码复制出来制作成html文件，并发送给客户端诱使其执行

用户浏览同时浏览DVWA靶场和hack制作的payload的网页时，直接进行了修改密码请求，并且成功

最不可能存在的也是最基本的CSRF攻击方:

例2：上面是POST方式提交的，那么GET方式改如何制作payload呢

制作一个超链接，单数就是服务器请求地址，加修改的参数，当用户请求的时候就发起了一次攻击

例3：还有一种是通过post发起请求，然后将input请求标签隐藏在iframe标签中，并且隐藏，然后通过js代码来调取和执行这次标签的请求，之后跳转到用户点击的正常页面。这样可以尽可能少的产生怀疑

看完上述内容，你们掌握如何进行CSRF整理分析的方法了吗？如果还想学到更多技能或想了解更多相关内容，欢迎关注创新互联行业资讯频道，感谢各位的阅读！