可能现在以我的理解csrf比较片面
这里我只是讲一下自己是如何利用csrf去在别人不知情的情况下把他的密码改掉的
漏洞位置是在用户修改密码处
我首先注册了一个账号test 登录进去之后找到修改密码处
来利用csrf改admin的密码为123456
填上自己的原密码123456789 改一下密码为123456
然后抓包 构造POC
然后把这个文件编辑为.html格式 发送给admin用户
只要是admin在线的情况下 点击了提交按钮 gg他的密码就成功修改为123456了
然后你就用admin 123456去登陆吧
如果感觉按钮太明显 那就用个图片来代替
<img src=xx>