CSRFTester & burpsuite之CSRF测试

1|0 CSRFTester 之CSRF测试

1|0CSRFTester &burp

CSRFtester教程10.00左右

1）设置浏览器代理：127.0.0.1:8008

2）登陆web应用程序，填写表单，在tester右上角点击start recording，提交表单，在CSRFTester中找到对应的请求包，修改表单内容，

3）点击右下角的generate html 产生，产生POC代码，删掉文件中不用表单，点击保存的文件，用同一个浏览器打开保证cookie。

 

 

2|0burpsuite之CSRF测试

本测试以burpsuite与火狐浏览器为例

1|0一、设置代理

这个记得先置为off，因为on的意思是 开启拦截，所以先关闭拦截才能成功提交表单。

 

 

 

 

 

 

 

 

 

 

 

 

 

这个记得先置为off，因为on的意思是 开启拦截，所以先关闭拦截才能成功提交表单。

 

 

 

 

1|0二、抓包

火狐：

进入对应可能存在漏洞的网址或表单

·新增或修改表单：

（1） 新增/修改

（2） 填写表单

（3） 提交/保存

 

 

 

 

·找到抓取到提交表单的post包

 

 

 

 

1|0三、伪造请求

·右键选择Engagement tools – Generate CSRF PoC

 

 

 

 

修改提交的参数—生成CSRF的HTML—在浏览器中测试

 

 

 

 

 

 

 

 

打钩后下次点击在浏览器中测试则默认复制CSRFHTML

点击copy后，直接在浏览器上的地址栏右键粘贴，回车

 

 

 

点击提交请求

 

 

 

 

但这不是重点，重点是查看刚才提交的信息是否成功被修改了或是成功新增了数据。

2|1四、检查是否成功提交

 

 

 

 

信息被修改，或成功新增表单，则说明可以成功伪造请求进行操作，存在CSRF漏洞。

若无被修改/新增或在粘贴地址栏回车时页面出现错误，无法提交，则不存在CSRF漏洞

__EOF__

本文作者：komomon
本文链接：https://www.cnblogs.com/forforever/p/12733474.html
关于博主：喜欢读书、旅行、爬山。评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！