CSRFTester & burpsuite之CSRF測試

 CSRFTester 之CSRF測試

CSRFTester &burp

CSRFtester教程10.00左右

1）設置瀏覽器代理：127.0.0.1:8008

2）登陸web應用程序，填寫表單，在tester右上角點擊start recording，提交表單，在CSRFTester中找到對應的請求包，修改表單內容，

3）點擊右下角的generate html 產生，產生POC代碼，刪掉文件中不用表單，點擊保存的文件，用同一個瀏覽器打開保證cookie。

 

 

burpsuite之CSRF測試

本測試以burpsuite與火狐瀏覽器為例

一、設置代理

這個記得先置為off，因為on的意思是 開啟攔截，所以先關閉攔截才能成功提交表單。

 

 

 

 

 

 

 

 

 

 

 

 

 

這個記得先置為off，因為on的意思是 開啟攔截，所以先關閉攔截才能成功提交表單。

 

 

 

 

二、抓包

火狐：

進入對應可能存在漏洞的網址或表單

·新增或修改表單：

（1） 新增/修改

（2） 填寫表單

（3） 提交/保存

 

 

 

 

·找到抓取到提交表單的post包

 

 

 

 

三、偽造請求

·右鍵選擇Engagement tools – Generate CSRF PoC

 

 

 

 

修改提交的參數—生成CSRF的HTML—在瀏覽器中測試

 

 

 

 

 

 

 

 

打鈎后下次點擊在瀏覽器中測試則默認復制CSRFHTML

點擊copy后，直接在瀏覽器上的地址欄右鍵粘貼，回車

 

 

 

點擊提交請求

 

 

 

 

但這不是重點，重點是查看剛才提交的信息是否成功被修改了或是成功新增了數據。

四、檢查是否成功提交

 

 

 

 

信息被修改，或成功新增表單，則說明可以成功偽造請求進行操作，存在CSRF漏洞。

若無被修改/新增或在粘貼地址欄回車時頁面出現錯誤，無法提交，則不存在CSRF漏洞