CSRFTester & burpsuite之CSRF测试

简介: CSRFTester & burpsuite之CSRF测试

CSRFTester 之CSRF测试

CSRFTester &burp

CSRFtester教程10.00左右

1)设置浏览器代理:127.0.0.1:8008

2)登陆web应用程序,填写表单,在tester右上角点击start recording,提交表单,在CSRFTester中找到对应的请求包,修改表单内容,

3)点击右下角的generate html 产生,产生POC代码,删掉文件中不用表单,点击保存的文件,用同一个浏览器打开保证cookie。

 

 

burpsuite之CSRF测试

本测试以burpsuite与火狐浏览器为例

一、设置代理

这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。

 

 

 

 

 

 

 

 

 

 

 

这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。

 

 

 

二、抓包

火狐:

进入对应可能存在漏洞的网址或表单

·新增或修改表单:

(1) 新增/修改

(2) 填写表单

(3) 提交/保存

 

 

 

·找到抓取到提交表单的post包

 

 

 

三、伪造请求

·右键选择Engagement tools – Generate CSRF PoC

 

 

 

修改提交的参数—生成CSRF的HTML—在浏览器中测试

 

 

 

 

 

 

打钩后下次点击在浏览器中测试则默认复制CSRFHTML

点击copy后,直接在浏览器上的地址栏右键粘贴,回车

 

 

 

点击提交请求

 

 

 

但这不是重点,重点是查看刚才提交的信息是否成功被修改了或是成功新增了数据。

四、检查是否成功提交

 

 

 

信息被修改,或成功新增表单,则说明可以成功伪造请求进行操作,存在CSRF漏洞。

若无被修改/新增或在粘贴地址栏回车时页面出现错误,无法提交,则不存在CSRF漏洞



相关文章
|
1月前
|
SQL 数据采集 安全
Burpsuite测试神器使用
Burpsuite测试神器使用
|
SQL 缓存 安全
【网络安全】渗透测试工具——Burp Suite(下)
【网络安全】渗透测试工具——Burp Suite(下)
396 0
【网络安全】渗透测试工具——Burp Suite(下)
|
安全 测试技术 定位技术
【网络安全】渗透测试工具——Burp Suite(中)
【网络安全】渗透测试工具——Burp Suite(中)
635 0
【网络安全】渗透测试工具——Burp Suite(中)
|
安全 测试技术 网络安全
【网络安全】渗透测试工具——Burp Suite(上)
【网络安全】渗透测试工具——Burp Suite(上)
527 0
【网络安全】渗透测试工具——Burp Suite(上)
|
安全 测试技术 网络安全
使用Burp Suite进行Web应用渗透测试
使用Burp Suite进行Web应用渗透测试
190 0
|
安全 JavaScript Java
使用 burpsuite 进行自动化测试 XSS 漏洞
使用 burpsuite 进行自动化测试 XSS 漏洞
981 0
|
SQL 安全 测试技术
如何使用Burp Suite模糊测试SQL注入、XSS、命令执行漏洞
本文讲的是如何使用Burp Suite模糊测试SQL注入、XSS、命令执行漏洞,今天我将使用打包的套件攻击工具对bwapp应用程序进行模糊测试,手动执行此测试是一个耗时的时间,可能对任何一个渗透性测试的安全人员来说都是无聊的过程。
3632 0
|
安全 Java 程序员
安全测试工具(1)- Burp Suite Pro的安装教程
安全测试工具(1)- Burp Suite Pro的安装教程
288 0
安全测试工具(1)- Burp Suite Pro的安装教程
|
网络安全 网络协议
NTLM认证失效时,如何使用Fiddler配合Burp Suite进行渗透测试?
本文讲的是NTLM认证失效时,如何使用Fiddler配合Burp Suite进行渗透测试?,最近,我们测试一个具有NTLM身份验证的Web应用程序。身份验证与任何浏览器正常工作,但在中间插入Burp Suite(已配置NTLM)时失败。
2560 0