CSRF

metasploit阿里巴巴安全应急响应iframescript"><script>搜索框存在跨站，留言板必定存在跨站、、、、"><script src=''>"><script src='http:

.

metasploit

阿里巴巴安全应急响应

iframe

script

"><script>

搜索框存在跨站，留言板必定存在跨站、、、、

"><script src=''>

"><script src='http://192.168.3.106/admin/administrator/administrator.asp?action=save&user=twins334&pass=123456&Submit=%CC%ED+%BC%D3'></script>

双引号和单引号一样，如果用HTML转义就没办法了

一般分为：

1.GET***

2.POST***

PHP注入集成工具

如何检测是否有CSRF

1.电商网站  添加修改的地方

 a,个人中心-资料修改

 b,会员间通信交流机制  文章、短信

 c.购物车

 d.地址

 e.确认订单

 f.安全中心

2.证劵网站

 a.股票买卖

 b.银行卡操作中心

 c.资料修改

 d.安全中心

3.普通论坛

 a.密码重置

 b.帖子编辑

***方法：

1.社会工程学

2.XSS跨站

3.

cookie

钓鱼

挂马

metasploit

.