個位高手好,想請教一個問題。
最近正在學習web漏洞。(WEB新手)
場景:
A:網站 有 token 機制,可以防禦csrf攻擊
B:使用者登入後可以進入修改密碼頁面,但修改的請求中必須夾帶 token
我實測做為一個使用者,本地使用burpsuite的外掛 CSRF TOKEN TRACKER測試
只要我抓取一次正常的請求包,接下來他可以一直自動帶上網站正確的token得請求達到修該密碼。
問題:
token不是應該是先連上網站,網站在給你這個token,然後下次你請求的時候帶上他核對身分,這個請求才能成功嗎。(還是我理解錯誤)
為什麼我可以只用 CSRF TOKEN TRACKER 自己單方面產生的token一直請求成功達到修改密碼。都不用先連上網站。
還是說網站後端早就已經先產生了一堆token在資料庫。
然後我們只需要用 CSRF TOKEN TRACKER 自動算出這些token的規則就可以修改成功。
可是這樣一來每個人都用同樣token去請求不就又可以csrf 除非 token 有次數限制。
工具介紹:
https://cloud.tencent.com/developer/article/1153895
希望有人能夠告訴我解答,以及我是否對token有理解錯誤。
謝謝