Security level: Low查看代码没有任何验证码或者Token防御服务器只看请求里有无有效Session Cookie, 带了就执行你敢相信吗在浏览器里点开了一个搞笑的图片你在另一个网站的密码就被人偷偷改了今天来讲一个与Cookie(盒子)、Session(账本)、BP网线间谍和CSRF隔岸观火串成的侦探故事。Session(账本) 藏在网站服务器的机房里。登陆成功后服务器就会在账本上写下【Admin用户登陆状态】Session ID(钥匙)服务器生成一传随机字符串eg:PHPSESSID B982…作为钥匙为了识别Cookie(盒子)钥匙交给浏览器放在本地缓存Cookie盒子里用BP抓包能看到钥匙Session ID;在Inspector里修改参数将password_new和password_conf的值直接改成其他如543, Forward后提示Password Changed, 退出后可以用新密码登录DVWAadmin,543所以把一串改密码的链接做成搞笑图片 标签发给任何一个用户点击后他的浏览器就会自动替他发送这串链接并且修改密码达到隔岸观火的效果。Security level: Medium 查看代码中级多了一道安检——检查HTTP请求头中的Referer字段是否包含服务器的域名或IP但代码通常使用stripos(SERVER[′HTTPREFERER′],_SERVER[HTTP_REFERER],SERVER[′HTTPREFERER′],_SERVER[‘SERVER_NAME’]意味着它只检查Referer字符串是否包含127.0.0.1不在乎IP出现在什么位置利用文件名构造法#1. 便携钓鱼网站代码在Linux终端输入nano csrf_test.html 创建一个恶意网页里面嵌入诱导型文案并在后台用图片标签加载到目标网站的改密码URL复制以下代码这是一个诱惑你点击的页面恭喜你获得周年庆大奖请勿关闭页面... ctrl O 保存回车然后ctrl X 退出; #2 用终端命令 mv csrf_test.html 127.0.0.1.html 把这个恶意网页名字改成127.0.0.1.html, 随后用 sudo cp 把它复制到本地服务器Apache的根目录 /var/www/html/ #3 只要登陆DVWA在同一浏览器不小心访问钓鱼链接【http://127.0.01/127.0.0.1.html】就会看到“恭喜你...” #4 通过Bp抓包可以看到浏览器里的Cookie向DVWA服务器发起了密码改成666666的请求全部Forward后可以用新密码登陆