【Security】CSRF攻击之测试思路总结
1. CSRF介绍 CSRF(Cross Site Request Foregy),中文名称之为跨站请求伪造。其攻击的原理是:攻击者利用实际用户的Cookies信息,以用户的身份,通过第三方网站,向被攻击网站发送非法请求(这一系列操作均由受害者在不知情的情况下完成的),从而绕过特定的权限进行操作数据、恶意攻击。 受害对象包含实际用户和被攻击网站。
2. CSRF模拟攻击流程
3. 测试思路
使用正常用户登录被测系统,获取涉及个人信息修改、敏感数据操作的请求,记录请求URL和参数;
编写HTML页面,或通过Burpsuite工具,生成相应的页面(需要注意页面内容,部分请求体中也存在防CSRF攻击的字段,如:token、anti-CSRF等,需要甄别去除)。
使用1步骤中的浏览器,打开HTML页面,点击发送请求按钮。
4. 案例-CSRF攻击新增用户4.1. 测试背景 新增用户功能,属于管理员权限范畴,普通用户无此权限。此次,通过伪造一个新增用户的html页面,模拟管理员被诱导访问第三方网站,点击按钮,触发新增用户 ...
【Linux】基于Ubuntu系统中安装Tomcat
1. 前期准备 在安装Tomcat之前,需要先安装好JDK,并配置环境变量。可参考:【Linux运维】【基础】Ubuntu系统中安装JDK
在官网下载所需版本的Tomcat。下载链接:Apache Tomcat®
2. 安装过程
将下载好的Tomcat安装包,拷贝至Ubuntu系统中,cd至Tomcat所在目录后,使用命令解压至指定路径下。1tar -zxvf apache-tomcat-7.0.94.tar.gz -C /home/boyce/App/
其中: apache-tomcat-7.0.94.tar.gz:是下载的Tomcat文件名; /home/boyce/App:是您想要存放安装软件的路径。
解压完成后,需要修改bin目录下的startup.sh和shutdown.sh文件。进入到/home/boyce/App/apache-tomcat-7.0.94/bin/,选择上述两个文件,右键使用选择gedit打开,在最后一行之前,加入如下代码并保存。12# tomcat environment,修改成你自己的T ...
【Linux】基于Ubuntu系统中安装JDK
1. 前期准备 根据自身需要,下载所需版本的Java Development Kit安装包。下载链接如下:
官网(需要Oracle账号):Java SE - Downloads华为源:https://repo.huaweicloud.com/java/jdk/
2. 安装过程
将下载好的jdk安装包,拷贝至Ubuntu系统中,cd至jdk所在目录后,使用命令解压至指定路径下。1tar -zxvf jdk-7u80-linux-x64.tar.gz -C /home/boyce/App/
其中: jdk-7u80-linux-x64.tar.gz:是下载的jdk文件名; /home/boyce/App:是您想要存放安装软件的路径。
解压完成后,接下来,需要配置环境变量。使用超级管理员身份编辑profile文件
1sudo nano /etc/profile
按i进入编辑模式,在最后一行中,加入如下代码(#号后面是注释,可忽略)
12345# java environmentexport JAVA_HOME=/home/boyce/app/or ...