CSRF简介
跨站请求伪造,英语全称Cross-site request forgery,也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
CSRF攻击流程
CSRF大概的攻击流程如下图所示
CSRF类型
根据提交的方式不同,可分为GET型和POST型这两种类型
GET类型的CSRF,一般存在于URL中,例如
http://dvwa.vulnhub.com/api/pay/?price=100&accountID=20000000POST类型的CSRF,一般存在Form表单中,构造恶意请求比GET类型的复杂.例如 ```bash