小弟是学python的,今天在上网时看到一个商城网站,正好昨天学到了CSRF跨站请求,就对这个商城网站进行了一波测试
可以看到网页布局做的还是很不错的,然后进入了注册页面看看 之后就开始测试了 正常请求是返回上面这串json 然后用postman进行测试,将前面的CSRFtoken拿过来进行测试,发现,竟然通过了 又将csrftoken去掉,然后post,竟然又通过了由此可见,网站后端的那个哥们,并没有进行csrf校验。如果编写一个程序,循环post,相信用不了多久,这个商城网站的短信余额就会不足了
关于csrf如何校验,下次再说。