国产成人AV不卡免费观看,亚洲精品国产精品乱码视色,狠狠精品久久久无码中文字幕

2、csrf的利用分類與案例分析

上文說到了csrf的兩個攻擊場景，以下是對csrf造成的常見危害與利用分類進行一個總結(jié)： 1、對網(wǎng)站管理員進行攻擊 2、修改受害網(wǎng)站上的用戶賬戶和數(shù)據(jù) 3、賬戶劫持 4、傳播CSRF蠕蟲進行大規(guī)模攻擊 5、利用csrf進行拖庫 6、利用其他漏洞進行組合拳攻擊 7、針對路由器的csrf攻擊接下來以wooyun實際案例來詳細說明每種分類的危害。 ### 1、對網(wǎng)站管理員進行攻擊誘騙管理員點擊存在漏洞的鏈接，執(zhí)行增加刪除網(wǎng)站管理賬戶的操作，從而進行下一步滲透得到網(wǎng)站shell權(quán)限。 [烏云社區(qū)某刪除功能存在CSRF漏洞（簡單利用需誘騙管理員觸發(fā)）](http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0124763.html) [騰訊QQ群可csrf任意設(shè)置管理員](http://wooyun.jozxing.cc/static/bugs/wooyun-2014-061514.html) [Discuz! X2.5 / X3 / X3.1 可CSRF刪管理員賬號](http://wooyun.jozxing.cc/static/bugs/wooyun-2014-054655.html) [Ecshop一處Csrf可通過交互管理員獲取后臺權(quán)限](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-033159.html) [wordpress后臺CSRF不嚴(yán)，管理員訪問某些鏈接可拿shell](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-020878.html) ### 2、修改受害網(wǎng)站上的用戶賬戶和數(shù)據(jù) 對賬戶密碼進行重置，改郵箱綁定，修改個人資料、個人設(shè)置，刪除用戶發(fā)布的文章帖子等。 [美麗說網(wǎng)CSRF重置任意用戶帳號密碼(已經(jīng)拿到商家?guī)ぬ栕C明)](http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0114338.html) [樂蜂網(wǎng)csrf漏洞可通過改郵箱來改密碼](http://wooyun.jozxing.cc/static/bugs/wooyun-2014-069792.html) [利用新浪微博的csrf漏洞修改任意用戶的頭像](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-042688.html) [騰訊微博又一處CSRF刷粉絲](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-020844.html) [sohu 刪除微博csrf](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-024027.html) ### 3、賬戶劫持修改密碼處沒有驗證原有密碼，無token驗證，發(fā)送一個修改密碼的鏈接即可?；蛘甙l(fā)送一個修改綁定郵箱的鏈接，在進行密碼重置。 [Ecshop csrf可劫持用戶賬號](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-024625.html) [團購?fù)鮟srf可劫持用戶修改密碼](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-024470.html) [圖蟲網(wǎng)利用csrf可劫持賬號](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-022895.html) [街旁網(wǎng)csrf可劫持用戶賬戶](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-022582.html) [微信公眾平臺CSRF可導(dǎo)致公眾賬號被劫持](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-021151.html) ### 4、傳播CSRF蠕蟲進行大規(guī)模攻擊此類攻擊發(fā)生的場景一般在SNS站點，批量關(guān)注、發(fā)微博、改個人資料處。 [新浪微博CSRF（GET型）發(fā)微薄，可蠕蟲](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-022628.html) [新浪微博某處csrf可構(gòu)造蠕蟲](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-026768.html) [新浪微博CSRF之點我鏈接發(fā)微博（可蠕蟲）](http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0164067.html) [新浪微博CSRF之點我鏈接發(fā)微博（可蠕蟲）關(guān)注我換頭像](http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0165578.html) [新浪微博CSRF之點我鏈接發(fā)微博（可蠕蟲）](http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0166608.html) [新浪微博CSRF之點我鏈接發(fā)微博（可蠕蟲）](http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0167674.html) [新浪微博CSRF之點我鏈接發(fā)微博（可蠕蟲）](http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0176396.html) [從一個小xss到csrf到騰訊空間被刷爆了(一個業(yè)務(wù)蠕蟲的誕生過程/測試已停)](http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0122514.html) ### 5、利用csrf進行拖庫 [記事狗定制裁剪邏輯錯誤導(dǎo)致csrf脫褲](http://wooyun.jozxing.cc/static/bugs/wooyun-2014-077398.html) [Discuz可CSRF脫褲](http://wooyun.jozxing.cc/static/bugs/wooyun-2014-064886.html) [Discuz!從CSRF全員XSS到脫褲與任意SQL執(zhí)行（附POC主要談修復(fù)方式）](http://wooyun.jozxing.cc/static/bugs/wooyun-2015-093585.html) ### 6、利用其他漏洞進行組合拳攻擊 [我是如何利用組合拳一步步攻陷匹克內(nèi)網(wǎng)的(XSS配合CSRF/利用DNS配合SQL注入獲取數(shù)據(jù)等等)](http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0204481.html) [圖蟲網(wǎng)存儲型xss+csrf=rootkit](http://wooyun.jozxing.cc/static/bugs/wooyun-2013-023310.html) ### 7、針對路由器的csrf攻擊一定要修改默認密碼。（wooyun知識庫） [淺談路由CSRF危害，和非主流姿勢](http://wooyun.jozxing.cc/static/drops/tips-721.html) [針對TP-LINK的CSRF攻擊來劫持DNS案](http://wooyun.jozxing.cc/static/drops/papers-722.html)