2. 程式人生 > >CSRF進階之打造一個檢測CSRF漏洞的腳本

CSRF進階之打造一個檢測CSRF漏洞的腳本

阿新 發佈:2018-05-06
stat tel requests strip spl eve logo 一個 代碼

前言:

還記得之前所學的CSRF漏洞吧。因為沒有對表單做好對應的漏洞

而造成的CSRF漏洞。學了這個漏洞後逐漸的了解。這個比較雞助。

代碼:

import requests,tqdm,time,os,re
logo="""
◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◇◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◇◇◇◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◇◇◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◇◇◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◇◆◆◆◆◆◇◇◇◇◇◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◇◇◇◇◇◇◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◇◇◇◇◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◆◆◆◆◆◆◆◆◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
     
 
"""
print(logo)
tishi="This tool is developed for research only. No law violation is related to developers."
print([!],tishi)
def osd():
    name=os.name
    if name == nt:
        print([+]Your operating environment is windows)
    elif name == posix:
        print([+]Your operating environment is Linux
 
)
    else:
        print("[-]I‘m sorry I didn‘t find your system")
osd()

user=input(Enter the web site to scan:)
def jiance():
    global content,headers,rest
    url=user.strip()
    headers={User-Agent:Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50
 
}
    rest=requests.get(url=url,headers=headers,timeout=6)
    content=rest.text
    if rest.status_code == 200:
        print([+]The goal is to be stable)
    else:
        print([-]The goal is unstable.)
jiance()

user2=input(Enter the cookie:)

egg1 = "user_token"
egg2 = "token"
egg3 = "g_tk"
egg = []
egg.append(egg1)
egg.append(egg2)
egg.append(egg3)


def csrf():
    cookies={}
    for line in user2.strip().split(;):
        key,value=line.split(=,1)
        cookies[key]=value


        rest2=requests.get(url=user.strip(),headers=headers,timeout=6,cookies=cookies)
        st=rest2.text
        for x in egg:
            livs="".join(x)
            if livs in str(st):
                print([-]There is no vulnerability in token)
                print([*]name:,livs)
                exit()
            else:
                print([+]url:,rest2.url)

csrf()

漏洞驗證:

技術分享圖片

技術分享圖片

技術分享圖片

添加用戶

技術分享圖片

技術分享圖片

CSRF進階之打造一個檢測CSRF漏洞的腳本

相關推薦

CSRF打造一個檢測CSRF漏洞

stat tel requests strip spl eve logo 一個 代碼 前言: 還記得之前所學的CSRF漏洞吧。因為沒有對表單做好對應的漏洞 而造成的CSRF漏洞。學了這個漏洞後逐漸的了解。這個比較雞助。 代碼: import requ

我的Android旅------>Android關於Log的一個簡單封裝

eight ron track 100% oid content amp 嚴重 center android.util.Log類,能夠方便地用於在編碼調試過程中打印日誌。可是在公布後的產品中,假設有太多的日誌打印。則會嚴重地影響性能。對android.util.Lo

樹莓派路 (032) -字符問題(2) - 用c語言怎樣得到一個漢字的GB2312編碼(轉)

十六進制 字符串 c++ gb2 十進制 轉換 tails 表示 blog C/C++支持的是ASCII,不過漢字編碼中,GB2312與ASCII是兼容的,所以可以在C中獲得漢字的GB2312編碼 GB2312是兩個字節的,第一字節是高八位,第二字節是低八位,比如下面的程序

一個年薪100萬的程序員:技術

iOS開發 ios逆向開發 移動架構 安全攻防 人工智能 剛進入的公司已經成為一名初級開發工程師。我們如何在這一技術路線上變得野蠻? 這一技術的路徑是一個Pilar Meade,少人去了。 多年來,爸爸一直在IT領域接觸大量的大型咖啡技術,其成長道路可能如下: 1。夯實夯實基礎 無論你是

從C++到Python,一個遊戲程式設計師的

我的第一份工作是一加國內知名遊戲公司的邏輯程式設計師,必須技能是C++,但是一開始只是寫語法和C++很類似的一種指令碼(後來知道是從一個開源指令碼引擎AngelScript修改而成的)。學習遊戲開發的流程,填資料,用指令碼定製各種任務、副本等等。第一年還很有興致,第二年開始就意興闌珊了。 後來熟悉了整個

從C++到Python,一個遊戲程序員的

分享圖片 國內 視頻資料 51cto 答疑 甚至有 帶來 一點 技術 我的第一份工作是一加國內知名遊戲公司的邏輯程序員,必須技能是C++,但是一開始只是寫語法和C++很類似的一種腳本(後來知道是從一個開源腳本引擎AngelScript修改而成的)。學習遊戲開發的流程,填數據

一個java高階工程師的路【轉】

巨集觀方面 一、 JAVA。要想成為JAVA(高階)工程師肯定要學習JAVA。一般的程式設計師或許只需知道一些JAVA的語法結構就可以應付了。但要成為JAVA(高階) 工程師,您要對JAVA做比較深入的研究。您應該多研究一下JDBC、IO包、Util包、Text包、JMS、EJB、RMI

一步一個腳印,QAD助力CAPP走出資訊化

【本文轉載於e-works數字化企業網】 客戶引言: “隨著汽車市場進入拐點,整個行業尤其是零部件廠商無可避免的將從管理入手進行轉型升級。QAD ERP解決方案在汽車行業擁有“專業+領先”的能力與實踐積累,“快速+便捷”的實施模式,非常適合基礎薄弱並且快速發展的中國民企。” ---長春市

一個資深Java程式設計師從碼農到大牛的

無論是誰,在剛進入某個領域之時,有再大的雄心壯志也敵不過眼前的迷茫:不知道應該怎麼做,不知道應該做什麼。下面是讓年輕程式設計師少走彎路的14個忠告,希望能對大家有所幫助。1.不要害怕在工作中學習。只要有電腦,就可以通過電子閱讀器閱讀報紙和大多數書籍。如果你只是做好自己的本職工

Android通用RecyclerView介面卡打造方法

一、引言 從事android開發已經快三年了,相信大家和我一樣,寫了無數列表View的介面卡,不知大家是否厭倦了這些重複的流程和程式碼?反正我是早厭倦了。本篇旨在從一段司空見慣的RecyclerView介面卡程式碼開始,一步一步抽取程式碼的重複部分,打造和Li

python目標檢測的影象特徵提取Haar特徵

目標檢測的影象特徵提取之(三)Haar特徵 1、Haar-like特徵        Haar-like特徵最早是由Papageorgiou等應用於人臉表示,Viola和Jones在此基礎上,使用3種類型4種形式的特徵。 Haar特徵分為三類:邊緣特徵、線性特徵、

一個Java高階工程師的

尚學堂AD 想必Java新手們都想知道如何成為一個Java高階工程師,小編整理了一下Java高階工程師必須具備的一些專業技能供大家參考,希望可以幫到大家! 巨集觀方面 JAVA 要想成為JAVA(高階)工程師肯定要學習JAVA。一般的程式設計師或許只需知道

一個Matlab小白的

Matlab作為在金融,工程上廣泛應用的數學軟體,其強大的數值計算功能以及視覺化等功能被越來越多的演算法工程師,金融統計行業專家所應用。作為一名資訊與計算科學的學生,學好Matlab是必不可少的。那麼從今天開始我將介紹一

一個軟件測試小白的

spring tex 設計思想 spel 尊重 block 完成 find 自己的 強哥是一個軟件測試新人,畢業以後他的職業發展是這樣的。1功能測試人員,也就是我們常常俗稱的進行點點點測試工程師。前 1-2 年做功能測試,使用其他人開發的工具進行測試。這個階段的測試工作都比

UnityET網路遊戲開發框架 05-搭建自己的第一個Scene

版權申明: 本文原創首發於以下網站: 部落格園『優夢創客』的空間:https://www.cnblogs.com/raymondking123 優夢創客的官方部落格:https://91make.top 優夢創客的遊戲講堂:https://91make.ke.qq.com 『優夢創客』的微信公眾號:um

Python 原始碼分析:如何將一個類方法變為多個方法?

前一篇文章《Python 中如何實現引數化測試?》中,我提到了在 Python 中實現引數化測試的幾個庫,並留下一個問題: 它們是如何做到把一個方法變成多個方法,並且將每個方法與相應的引數繫結起來的呢? 我們再提煉一下,原問題等於是:在一個類中,如何使用裝飾器把一個類方法變成多個類方法(或者產生類似的效果

【API路6】一個技術盲點,差點讓整個專案翻車

上次教了實習生一個方案之後,這小子跟運營妹子的關係是越走越近,時不時地撒把狗糧,在我司真正實現了研發運營一家親~(上回你沒看?戳上文劇情回顧:萬萬沒想到,一個技術方案幫實習生追到了運營妹子)  這回想跟大家聊的,是最近一個可以說有些驚心動魄的專案。自從我開始在華為雲網站自學API的技術解決方案之後,

CSS

模式 ant 表格 weight mil 比較 標題 根據 amp 下面主要引用http://www.cnblogs.com/wangfupeng1988/tag/css知多少/ CSS進階筆記: 一、學習CSS的三個突破點 1.瀏覽器如何加載和解析CSS——CSS的5個來

Android 動畫動畫切換

ram 屏幕 pre 退出 tac 旋轉動畫 utf 轉動 XML 一、Activity切換動畫   在Android開發中,經常會遇到Activity之間切換效果,下面介紹一下,Activity左右滑動切換效果。在Android2.0以後版本,在Activity中添加了

路(基礎篇) - 011 arduino api基礎手冊

異或 change 可用 算術運算符 chan 程序結構 換算 是否 關閉 arduino 函數 api 程序結構 在Arduino中, 標準的程序入口main函數在內部被定義, 用戶只需要關心以下兩個函數:void setup()void loop()setup() 函數