High 级别安全机制分析机制实现方式安全性评估Anti-CSRF TokencheckToken()函数验证user_token有效防御纯 CSRFToken 生成generateSessionToken()每次页面加载生成新 Token一次性 TokenSQL 注入防护mysqli_real_escape_string()过时应使用预处理语句密码加密MD5 哈希不安全应使用 bcrypt/Argon2攻击实施先尝试用burp suite 拦截修改密码的请求请求包含新密码和token将请求发送到repeater模块尝试将密码修改为1111响应为302 重定向跟随重定向显示CSRF token is incorrect原因token验证后会自动刷新抵御了重放攻击安装 CSRF Token Tracker 并进行配置再进行重放攻击每次重放都会自动获取新的token值结果