预测XSRF令牌模式

时间:2018-09-25 11:35:28

标签: csrf csrf-protection cross-site x-xsrf-token

我正在尝试使用XSRF攻击站点,该站点在请求正文中使用XSRF令牌,人们可以尝试猜测模式的可能/自动方式是什么,服务器发送以下令牌(每个请求一个)经过身份验证的会话中的HTML正文

AMAEe_kc1SkllfWTYWsMbBo5o5Ej:1537867725971
AMAEe_lGgsvDjn2XNJU-8XphR09M:1537867797060
AMAEe_lmSI2agDrelMRE_CgIJ2jO:1537867813332
AMAEe_nqYW88QF6W_kOCXLDp6J1_:1537867834814
AMAEe_kM6GGq5702W5gNi4C970Ry:1537867857280
AMAEe_mrnl0U-QXudOSEHCZY3CQK:1537867883056
AMAEe_mmMk4yCYlU5KzYLZSccMxj:1537867895376
AMAEe_mlO16s1kPYMCKvDOGxoR-G:1537867928396
AMAEe_ldNqOxqbAvOHQUhiMXg2wR:1537867939112

到目前为止,我可以识别

First 6 Characters are always AMAEe_
The numbers after the colon indicate the time since epoch in milliseconds.
The 7th Character is always lower case k or l or m or n

我总是可以通过几次尝试来预测数字模式,但是对于前面的字符串则无法预测。我知道它非常模糊,可能无法猜测,但是猜测XSRF模式的常用方法是什么?

0 个答案:

没有答案