CSRFTester自动化测试
CSRFTester介绍
CSRFTester是一款针对CSRF漏洞的测试工具
工作原理
它使用代理抓取我们在浏览器中访问过的所有的链接及表单信息,通过CSRFTester修改相应表单信息,重新提交,相当于伪造了一次客户端请求,如果测试的请求成功,被服务器接受,则证明存在CSRF漏洞。
使用
1.打开浏览器,设置代理为127.0.0.1:8008,因为CSRFTester通过本地8008端口来进行监听
2.在需要测试的地方请求,在CSRFTester可成功监听分析
3.生成csrf poc,点击生成的html链接,检验成功性
实战
1.打开目标测试点,点击表单提交数据
2.在点击表单提交之前再开启start recording防止其他参数影响,可以看见后面有些流量是带了数据的,将这些数据进行修改成你想构想的数据
3.点击generate HTML,生成index.html,再讲index.html中,红色区域的form表单删去,再用同一浏览器访问,如果返回true则成功添加一位用户
参考
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Lhang's Blog!
评论