小弟是学python的,今天在上网时看到一个商城网站,正好昨天学到了CSRF跨站请求,就对这个商城网站进行了一波测试

可以看到网页布局做的还是很不错的,然后进入了注册页面看看

之后就开始测试了

正常请求是返回上面这串json

然后用postman进行测试,将前面的CSRFtoken拿过来进行测试,发现,竟然通过了

又将csrftoken去掉,然后post,竟然又通过了

由此可见,网站后端的那个哥们,并没有进行csrf校验。如果编写一个程序,循环post,相信用不了多久,这个商城网站的短信余额就会不足了

关于csrf如何校验,下次再说。

 

版权声明:本文为blog-rui原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/blog-rui/p/9517007.html