5.CSRF漏洞

跨站请求伪造: (CSRF，全称Cross-site request forgery)，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。

1.GET型

• 构造带有POC的网页:password_new=pwd&password_conf=pwd&Change=Change#
  POC:Proof Of Concept的缩写。在黑客圈指：观点验证程序。运行这个程序就可以得出预期的结果，也就验证了观点。

2.POST型

• 如果网站有添加管理员功能
• 客户访问带有POC的页面则添加了管理员账号

3.伪造方法

• 使用短链接来隐藏URL
• 构造有诱惑性的攻击页面