初始化演练环境
有了CSRF-GET的实操经验以后,我们决定不走弯路,直接抓包走起。
首先初始化一下:
提交的时候,记得抓包。应用层抓包工具: F12, wireshark, burpsite 等等。为了方便,集中课程焦点,我们主要集中精力讲解CSRF的内容,采用F12快捷操作。
演练思路
结合之前的培训内容,思路也很清晰,构建一个表单,表单的内容包括:sex,phonenum,add,email的4个字段。通过自动点击提交(注意,提交按钮也是一个字段)进行自动提交。
首先构建我们的自动提交页面:
http://192.168.56.1/kyd_link_onload_ok_for_post.html
请自行对比一下,我们修改的地址跟之前的区别所在。最后的pleaseclickeme的js函数里,我们增加了自动点击功能: document.fm01.submit(); 更多的学习应用,应多看一下dom的运作原理。
打开页面,马上就可以看到成功了:
慢就是快!POST学习完毕。
若有收获,就点个赞吧
0 人点赞
