CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。
输入数字,可以看到输入的数字在url显示
则可以构造链接:http://dvwa:8003/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change# 很明显可以看出被修改密码,。则需要用短链接来隐藏url。
但也会有修改密码的提示。则可以在本地写个攻击页面
使受害者误以为是失效的url,实则已修改密码。
