在CSRF 中 的CSRF(get)登陆lucy 账号(注:点击右边的皮卡丘会出现账号和密码)
修改地址usa 改为 aaa
在BP上抓包
GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=aaa&email=lucy%40pikachu.com&submit=submit
攻击者伪造的链接:
http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=bbb&email=lucy%40pikachu.com&submit=submit
被攻击者输入链接 地址被修改为bbb
视频中的链接:
在CSRF 中 的CSRF(post)登陆lucy 账号:无法通过url伪造这个请求
和xss (post )一样 我们需要去布一个自己站点 在这个站点上做一个表单 让Lucy点 恶意站点表单的url 通过这个表单的url 去向存在CSRF漏洞 的页面提交post请求就可以。
