当前位置：首页 > news >正文

CTF Web模块系列分享（三）：客户端漏洞专题，核心讲解XSS和CSRF

news 2026/3/26 21:06:38

今天咱们进入系列的第三期——客户端漏洞专题，核心讲解XSS（跨站脚本）和CSRF（跨站请求伪造）。这两类漏洞和之前的SQL注入不同，攻击目标不是服务器，而是用户的浏览器，利用的是浏览器对网站的信任机制，也是CTF Web模块中高频的基础题型，新手必须掌握！

话不多说，直接上干货！今天我们先拆原理，再讲实战，帮大家彻底分清XSS和CSRF的区别，轻松拿下这类题型的分数。

一、先分清：XSS和CSRF到底有啥不一样？

很多新手刚接触会把这两个漏洞搞混，先记住一个核心区别：

XSS：往页面里注入恶意脚本，让脚本在用户浏览器里执行，目的是偷取用户信息（比如Cookie、账号密码）。

CSRF：伪造用户的合法请求，让用户在不知情的情况下执行操作（比如转账、改密码），目的是利用用户权限做事。

用通俗的例子总结： XSS像在奶茶里加了泻药，让喝奶茶的人（用户）出问题； CSRF像“冒充你给商家发消息说‘把我的奶茶送给别人’”，利用你的身份（权限）做事。

二、XSS漏洞：跨站脚本的核心逻辑与实战

XSS的本质是：开发者没对用户输入的内容做过滤，导致恶意JavaScript脚本被嵌入到页面中，并且被浏览器执行。

1. 新手必懂的3种XSS类型

存储型XSS：恶意脚本被存储到服务器数据库（比如评论区、个人资料），所有访问该页面的用户都会触发脚本（危害最大，CTF中最常考）；
反射型XSS：恶意脚本通过URL参数注入，只有点击了带有恶意参数的URL的用户才会触发（危害较小，常出现在搜索框、跳转页面）；
DOM型XSS：通过修改页面的DOM结构触发，脚本不经过服务器，直接在客户端执行（相对少见，但需要掌握基础思路）。

2. 实战演练：存储型XSS拿Flag

以CTFshow新手场的存储型XSS题目为例，手把手教你解题：

题目场景
打开题目链接，是一个“留言板”页面，用户可以提交留言，页面会显示所有历史留言，Flag存储在管理员的Cookie中，我们需要通过XSS获取管理员的Cookie。

解题步骤
测试是否存在XSS：在留言框输入，提交后如果页面弹出“xss”弹窗，说明存在存储型XSS。

构造恶意脚本：核心是“偷取Cookie并发送到自己能访问的地方”，新手常用的payload（直接复制可用）：。

提交恶意留言：将构造好的payload输入留言框提交，等待管理员查看留言板（CTF题目中通常会模拟管理员访问，提交后直接触发）。

获取Flag：查看自己的服务器日志，会发现包含管理员Cookie的请求，其中就有Flag（格式：flag{xxx}）。

三、CSRF漏洞：跨站请求伪造的核心逻辑与实战

CSRF的本质是：利用用户已登录的身份（浏览器保存的Cookie），伪造一个合法的请求，让用户在不知情的情况下执行特定操作。

1. CSRF成立的3个前提

用户已登录目标网站，浏览器保存了有效的Cookie。

攻击者能构造出合法的请求（知道请求的URL、参数、请求方法）。

用户在登录状态下访问了攻击者构造的恶意链接/页面。

2. 实战演练：CSRF伪造改密码请求

以修改用户密码”的CSRF题目为例，解题步骤：

题目场景
目标网站有“修改密码”功能，已知修改密码的请求是：http://题目地址/change.php?newpass=123456，请求方法为GET，我们需要构造CSRF页面，让登录的用户点击后自动修改密码为我们设定的值。

解题步骤
分析请求：通过Burp抓包确认修改密码的URL、参数（newpass）和请求方法（GET/POST）。

构造恶意页面：新建一个HTML文件，写入自动发送请求的代码（GET请求直接用img标签即可）： < img src=“http://题目地址/change.php?newpass=hack123” style=“display:none”>。

诱导用户访问：将恶意HTML文件上传到自己的服务器，生成链接，诱导目标用户（已登录状态）点击。

验证结果：用户点击后，浏览器会自动发送修改密码的请求，密码被改为hack123，我们用新密码登录即可获取Flag。

四、新手避坑&学习建议

区分XSS和CSRF：记住“XSS偷信息，CSRF做操作”，不要混淆两者的攻击目标。

XSS payload灵活调整：如果基础payload被过滤，尝试替换标签（比如用代替script标签）。

CSRF重点看请求方法：GET请求构造简单（直接拼URL），POST请求需要构造表单自动提交。

推荐靶场：CTFshow新手场（XSS/CSRF专题）、DVWA（低/中难度模式）。

五、下期预告

今天我们搞定了XSS和CSRF这两个核心客户端漏洞，下期我们将进入第四期——文件上传/包含漏洞专题，这是Web模块中“突破服务器屏障”的关键漏洞，学会就能解决很多中难度题目。

如果今天的内容对你有帮助，别忘了点赞、在看，转发给一起学CTF的小伙伴～

CTF学习资源分享

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，100多本网安电子书，最新学习路线图和工具安装包都有，不用担心学不全。

给大家准备了2套关于CTF的教程，一套是涵盖多个知识点的专题视频教程：

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

另一套是大佬们多年征战CTF赛事的实战经验，也是视频教程：

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

查看全文

http://www.jsqmd.com/news/204659/