WWW.FLEPS.COM.BR

EXPLORAÇÃO DE CSRF - HACKING DE SITES

By admin at 2019-05-17 • 0 colecionador • 857 visualizações de página

Exploração de CSRF - Hacking de sites



CSRF é a abreviatura de Cross Site Request Forgery, também conhecida por muitos outros nomes como um ataque de um clique ou sessão de equitação ou XSRF. É um tipo de exploração maliciosa de um site em que comandos não autorizados são executados de um usuário no qual o site confia. Ao contrário do cross-site scripting (XSS), que explora a confiança que um usuário tem para um site específico, o CSRF explora a confiança que um site tem no navegador de um usuário. Eu vou te mostrar um simples trabalho de exploração do csrf aqui que funciona.

EXPLORAÇÃO DE CSRF NO DVWA

  • Estamos usando um servidor localhost com o vulnerável site  DVWA.

  • Por padrão, a credencial definida para o DVWA é  admin: password . Como você pode ver, usei-os para fazer login no DVWA. Basta fazer login inserindo o nome de usuário e a senha aqui, como abaixo.


  • Após o login, mova para o  botão CSRF na guia esquerda. Depois de clicar no botão, você verá uma página para alterar a senha como esta.


  • Apenas mude a senha para qualquer coisa que você goste. Depois de apertar o botão Alterar, clique na  página de exibição Origem .


  • Agora, você precisa  copiar e  colar  acima do  código HTML marcado  dentro de um arquivo de texto. Se você está ciente da codificação HTML, então será muito simples entender a seguinte sintaxe dentro do bloco de notas, que criará um formulário para redefinir a senha de uma página da web. Agora  salve  o arquivo como  csrf.html. Você pode nomear o arquivo para qualquer coisa que você queira.

  • Apenas substitua a  senha de entrada e confirme as tags de senha  na seguinte string.

<input type=”password” AUTOCOMPLETE=”off” name=”password_new” value=”mynewpassword”>
<input type=”password” AUTOCOMPLETE=”off” name=”password_conf” value=”mynewpassword”>


  • Agora abra o arquivo salvo. e aperte o botão Alterar. Quando você apertar o botão, você verá uma mudança na barra de endereços que aparece a nova senha. 

  • Agora volte para a página do  DVWA  onde você acabou de alterar a senha e  copie  a  URL  como mostrado na imagem a seguir.


  • Abra o  arquivo csrf.html  novamente no bloco de notas e altere a  ação  para o  endereço copiado.

  • Agora, ao abrir esse arquivo no navegador e clicar no  botão Alterar  , como já fez na etapa anterior. Isso mudará a senha do  DVWA LOGIN.

Isso é apenas um simples tutorial de CSRF em uma máquina local para mostrar como funciona. Este tutorial não pretende prejudicar nenhum site de terceiros. Espero que tenha esclarecido como funciona a exploração do csrf.


Requer login

Loading...
:79::65::p:78::57:;):77::51::D:76:
:2::icon_syria_lovely::o:75::1::):clap::71::(:70: