Never too old to learn.

http协议之csrf攻击

Posted on Apr 26, 2019 By Andy Zhu

之前讲到了getcsrf攻击,今天来测试一波

我们还是用上次测试get的服务器代码,把test.html改成:

<html>
    <head>
        <title>test</title>
        <meta charset="utf-8">
    </head>
    <body>
    </body>
</html>

相当于什么都没有。。。

话说本来就是测试协议的要前端干什么

然后再把zul_server打开,index.html:

<html>
    <head>
        <title>test</title>
        <meta charset="utf-8">
    </head>
    <body>
        <a href="http://localhost:8000">qaq</a>
    </body>
</html>

运行zul_server 12345

然后我们在浏览器里面直接访问localhost:8000

然后你在内容里面找到了这个:

Referer: http://localhost:8000/

然后我们在浏览器里面访问localhost:12345

然后内容里就有这个;

Referer: http://localhost:12345/

其实referer和转入前的网址一模一样

如果把这样的操作拦截下来,那么别人在他们的网站里挂一个友链都不可以(划掉)

你就可以防止一些非法获取用户信息的操作:

不过话说我直接用socket模拟假的referer…………