Dvwa-跨站请求伪造（CSrf）

10.修改后放包，页面显示“password changed”  
11.然后关闭浏览器代理  
12.左边选择 dvwa security 设置安全为 high 然后submit，在回答csrf，可以看到3个输入框，正确密码，新密码，在次确认密码。 13.查看high级别源码  
14.直接判断旧密码是否正确，如果不正确，就是提示：密码不匹配或原密码错误，检验后安全级别相应提高。
 
总：
跨站请求伪造漏洞产生原因：没有判断请求数据的来源；没有判断原来的密码，直接两次输入的密码相同就修改原来的密码数据库内容。导致通过url中的数据可以轻易修改密码，修复漏洞需要以上两个问题，判断数据来源，同时需要判断原来密码，因为只判断数据来源的话，攻击者可以通过修改数据包达到工具母的。