Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |CSDN秋说】
CSRF存在前提:简单的身份验证只能保证请求是发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的
业务场景:新增、删除、收藏、编辑、保存
使用Burp发现CSRF漏洞的过程如下。
1、如图,存在修改邮箱的功能点如下:
2、修改邮箱的流量包,此时邮箱已被修改:
思路:是否存在简单的身份验证?能否实现CSRF?
3、选中参数及参数值,并发送到CSRF POC: