CSRFTester介绍

CSRFTester是一款针对CSRF漏洞的测试工具

工作原理

它使用代理抓取我们在浏览器中访问过的所有的链接及表单信息,通过CSRFTester修改相应表单信息,重新提交,相当于伪造了一次客户端请求,如果测试的请求成功,被服务器接受,则证明存在CSRF漏洞。

使用

1.打开浏览器,设置代理为127.0.0.1:8008,因为CSRFTester通过本地8008端口来进行监听

2.在需要测试的地方请求,在CSRFTester可成功监听分析

3.生成csrf poc,点击生成的html链接,检验成功性

实战

1.打开目标测试点,点击表单提交数据

2.在点击表单提交之前再开启start recording防止其他参数影响,可以看见后面有些流量是带了数据的,将这些数据进行修改成你想构想的数据

3.点击generate HTML,生成index.html,再讲index.html中,红色区域的form表单删去,再用同一浏览器访问,如果返回true则成功添加一位用户

参考