1.跨站请求伪造(CSRF)
1.low
明文信息直接显示在url中password_new和password_conf两个变量
可以通过直接修改url中的这两个参数来更改
2.medium
在medium中还是明文出现url但使尝试更改参数是返回这个请求看起来不正确
这里f12看从请求头可以知道没有referer
bp抓包
3.high
<?phpif( isset( $_GET[ 'Change' ] ) ) {// Check Anti-CSRF tokencheckToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );// Get input$pass_new = $_GET[ 'password_new' ];$pass_conf = $_GET[ 'password_conf' ];// Do the passwords match?if( $pass_new == $pass_conf ) {// They do!$pass_new = mysql_real_escape_string( $pass_new );$pass_new = md5( $pass_new );// Update the database$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";$result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' );// Feedback for the userecho "<pre>Password Changed.</pre>";}else {// Issue with passwords matchingecho "<pre>Passwords did not match.</pre>";}mysql_close();
}// Generate Anti-CSRF token
generateSessionToken();?>
在这段代码里可以看到多了user_token这个参数与dvwa中爆破的high原理差不多
多了个由服务器发出的不断变化的值
在本次实验中有A为目标B为攻击者B要通过跨站脚本攻击修改A的密码要拿到user_token这个变量就要使用sxx(一般网站都不允许跨域的请求)所以这里要使用xss
因为js中可以通过alert(document.cookie) 可以查看当前页的cookie
于是构建<script>alert(document.cookie)
在请求中加入user_token来更改密码