CSRF 跨站请求伪造
CSRF 跨站请求伪造
冒充用户
token
一次性token,是否与session绑定
靶场链接:https://portswigger.net/web-security/all-labs#cross-site-request-forgery-csrf
进去靶场之前首先用自己的邮箱注册一个账号,测试过程使用burpsuite专业版,谷歌配置代理


使用上面给出的账号密码登录进去
打开代理,先正常尝试更改邮箱功能
在bp中找到更改邮箱的数据包



将生成的html进行复制,然后


点击后,成功会弹出提示

Token
有token,但没有做任何绑定,一个用户的token另外一个用户也可以使用
一次性token
token与session没有绑定