CSRF

created: "2025-11-01 01:44"
tags:
  - CSRF
aliases:
  - CSRF exploit
Type:
title:
updated: "2025-11-01 20:24"

1. 利用

如果一个POST请求也可以通过GET方式实现的话，可以尝试这个种方式，一般都是有一个用户会来访问你的连接

如
这里通过抓包发现也可以使用 GET 方式修改密码
正常的方式
Pasted image 20251101004917.png

我将其改成 GET 方式发送请求，仍然可以被接受
Pasted image 20251101005014.png

这里是回到了登录框界面，但是经过测试确实是可以修改成功的

直接反馈
Pasted image 20251101005230.png

http://10.129.31.121/change_pass.php?confirm_password=321321&password=321321&submit=submit