CSRF（跨站请求伪造）

概念

跨站请求伪造（Cross-Site Request Forgery，简称CSRF）是一种攻击方式，攻击者通过伪造用户的请求，欺骗受害者在不知情的情况下执行不想要的操作。这种攻击利用了用户已经在目标网站上通过身份验证的状态（如登录状态），从而以用户的身份发送恶意请求。

工作原理

1. 用户在某个网站（比如银行网站）上登录并获得一个会话令牌（Cookie）。
2. 用户在没有退出登录的情况下，访问了一个恶意网站。
3. 恶意网站中包含了指向银行网站的恶意请求，比如转账请求。
4. 用户的浏览器会自动带上银行网站的会话Cookie，从而完成转账操作。
5. 银行网站因为接收到了合法的Cookie，会认为请求是合法用户发起的，从而执行操作。

get型 登录进去之后随便修改一下提交 然后就开始在网络中寻找我们提交的数据包 这个时候登录lili的的账户然后打开vince的那个url http://127.0.0.1/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=123123&add=henan&email=henan666%40pikachu.com&submit=submit（欺骗）发现了什么post型首先登录一个账号然后修改它的信息然后burp抓包抓包后（这不好截图一截图页面就下去了toude图）然后就找到html把他保存下来这个时候把html发给lucy让他打开这是lucy现在的信息打开html后你一点你就会发现lucy信息变了为kevin