使用phpstudy验证CSRF漏洞 | Dana Shaw's blog

0%

使用phpstudy验证CSRF漏洞

发表于 2020-05-22 更新于 2021-11-12 分类于 IT 阅读次数：
本文字数： 247 阅读时长 ≈ 1 分钟

CSRF漏洞原理及复现方法学习

前言

可以使用phpstudy建本地网站，将csrf漏洞验证的html放到网站根目录，验证csrf漏洞。

操作步骤

使用burp生成poc，将html保存到本地，命名为csrf.html。
将这个html上传到phpstudy网站根目录，输入127.0.0.1/csrf.html进行访问。
用burp抓包，重放csrf.html。如果能正常返回页面，说明csrf漏洞存在。
原理：本质上是修改了网站的referer。修复这个漏洞的方式是限制referer，不允许其他域名的referer访问网站。

待实操。

本文作者： 肖坤稼
本文链接： https://dana5haw.com/posts/ZH-CN/phpstudy-verify-csrf.html
版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！

欢迎关注我的公众号(Welcome to follow me on Wechat)

-------------本文结束感谢您的阅读-------------