如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC

最新推荐文章于 2023-05-09 23:22:14 发布
VIP文章 最新推荐文章于 2023-05-09 23:22:14 发布
阅读量1k 收藏
点赞数
分类专栏: 网络 黑客 安全 文章标签: csrf 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/121778347
版权

关于lazyCSRF

lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。除此之外,在生成的CSRF PoC中,可以在Burp套件本身中显示的多字节字符经常会显示成乱码。因此,lazyCSRF便应运而生了。

功能介绍

  • 使用XMLHttpRequest自动切换至PoC:参数为JSON情况,或请求为PUT/PATCH/DELETE的情况;
  • 支持显示多字节字符;
  • 使用Burp Suite社区版生成CSRF PoC(当然也适用于Burp Suite专业版);

【点击获取安全工具与学习资料】

多字节数据显示差异

下图中显示的是Burp Suite的CSRF PoC生成器与LazyCSRF之间在显示多字节字符时的差异。

LazyCSRF能够在不会混淆多字节字符的情况下生成CSRF PoC,而LazyCSRF也是Burp Suite中唯

最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
csrf-poc-creator:用于CSRF概念验证的Burp Suite扩展
05-11
csrf-poc创建者 用于CSRF概念验证的Burp Suite扩展 作者:@rammarj 您可以下载所有源代码并自己进行编译,也可以下载jar文件并开始使用burp csrf-poc-creator
TOP16之CSRF -- 小黑超细详解+案例说明<宝藏文>
G_WEB_Xie的博客
03-31 767
CSRF -- 跨站请求伪造,很好理解,就是盗用别人的身份伪造请求发送给服务器,在未授权的情况下执行权限保护之内的操作,因为请求的一切流程都是正常操作,这也是一般不会被检测到的漏洞行为。小黑子们,撸起袖子加油干!!!
使用burp生成CSRFPOC验证CSRF
bring_coco的博客
12-14 2781
实验环境:phpstudy, DVWA,burpsuite 演示过程: <1>使用burp代理提交内容 (代理推荐使用FoxyProxy小插件) <2>burp中寻找CSRF POC自动化生成选项 <3>可以看到如下为自动化生成POC 自动化编写有时候有些是不能用的,最好是自己改一些 <4>将HTML代码复制到新建的csrf.html中 <5>将其打开 <6>点击请求 可以看到成功改变密码。 这种方式虽然成功了,但是必须跟
top10之CSRF,原理,攻击方式、预防机制
m0_59856804的博客
12-12 747
top10之CSRF,原理,攻击方式、预防机制
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3281
CSRF,中文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3、将token加入http头属性中,避免了token出现在浏览器中,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP头部中有一个Re
Nginx配置valid_referer解决跨站请求伪造(CSRF)
热门推荐
zhongxj183的博客
02-21 1万+
Nginx配置valid_referer解决跨站请求伪造(CSRF) 文章目录Nginx配置valid_referer解决跨站请求伪造(CSRF)漏洞说明漏洞描述危害等级修复建议漏洞复现curl测试方法BurpSuite测试方法漏洞修复修复前扫描测试漏洞修复方案漏洞修复验证修复后扫描测试参考文章 漏洞说明 漏洞描述 跨站请求伪造(CSRF)。即使是格式正确有效且一致的请求也有可能在用户不知情的情况下发送。例如,如果某个 Web 服务器设计为接收客户机的请求时,没有任何机制来验证该请求是否确实是客户机发送的,
burpsuite之快速创建测试CSRFPoc页面
moonquake
03-17 1514
注意: 本篇文章使用burpsuite2021专业版,其它版本也基本适用。 一、打开目标表单页面,将代理改为burpsuite,开始抓包。 二、抓取到目标url后,选中url并右击,选择Engagement tools下的Generate CSRF Poc 三、在参数区域修改表单的值,使用自己的payload填写, 修改参数后,不要忘了点击apply(应用修改,使修改生效) 然后点击Regenerate,生成Poc表单 四、获取测试链接 点击Test in browser后,弹出链
CSRF漏洞检测与发现
weixin_39811856的博客
05-17 2606
1.首先明白什么是CSRF漏洞 跨站请求伪造,这里刚入门的同学肯定不明白是什么意思,其实重点在于请求伪造 简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 在CSRF的攻击场景中攻击者会伪造一个请求(这个请.
burpsuite生成POC验证CSRF过程及原理
qq_41123867的博客
02-19 1万+
一.CSRF漏洞成因: 浏览器访问web服务器A,登录状态下,再用同一个浏览器访问了恶意服务器B,服务器B返回给浏览器的页面中含有要求访问服务器A的恶意代码,用户不知情的情况下点击后,导致服务器A接收到来自服务器B的通过浏览器发起的恶意请求 根据上图可知,要验证CSRF,需要在访问网站A后获得cookie后,再访问一个会返回恶意代码的网站B,返回的恶意代码必须能导致访问网站A ,如果能通过返回的...
web安全CSRF漏洞——苦日7小时
weixin_52351575的博客
05-09 760
要想有CSRF漏洞,那么必须得参数可控,如果csrfcsrfKeysession三者互相绑定在一起,那么就没戏.如果csrfcsrfkey是互相绑定的,但是session没有和他们绑定,那就相当于靶场4,一样可以绕过.
Burpsuite 插件的学习与使用
Goodric的博客
07-21 1649
burp 可以使用三种语言编写的扩展插件,Java、python 和 ruby 。 除Java外,其它两种语言需要的扩展插件需要专门的配置运行环境。即 Location of Jython(Ruby) standalone JAR file: 这个选项需要下载的环境路径。...
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
BurpSuite手册-045-Gererate CSRF PoC.pdf
12-28
Burp Suite 常用功能 Burp 包含许多支持测试过程的套件范围的功能。 • Message editor • Inspector • Burp's browser • Sending requests between tools • Search • Learn • Target analyzer • ...
AutoRepeater:使用Burp Suite重复执行自动HTTP请求
02-06
AutoRepeater:使用Burp Suite重复执行自动HTTP请求 tl; dr 在扩展器中导入AutoRepeater.jar 一些简要说明 AutoRepeater将仅重新发送由已定义的替换更改的请求... 虽然Burp Suite是一个非常有用的工具,但使用它执行授
BurpSuite_v2.0 使用教程及BurpSuite 下载
09-23
文档内包含 BurpSuite_v2.0工具及教程下载链接,关于Burp Suite, 它是进行Web应用安全测试的一个集成平台,无缝融合各种安全工具并提供全面的接口适配,支持完整的Web应用测试流程,从最初的映射和应用程序的攻击面...
服务器被入侵了?反手溯源出入侵者画像【网络安全
HBohan的博客
03-07 1万+
手机上发来服务器被入侵的消息,这令人感到一脸懵,这个服务器也不是啥重要东西,上面啥也没有怎么还会被搞?被人搞了那也不能示弱了,
【内网渗透工具】炫彩蛇安装教程
HBohan的博客
11-10 7748
点击查看【学习资料】 Viper是一款图形化内网渗透工具,将内网渗透过程中常用的战术及技术进行模块化及武器化. Viper基础功能已集成杀软绕过,内网隧道,文件管理,增强命令行等基础功能. Viper通过模块的方式落地MITRE ATT&CK中的常用技术.当前已集成55个模块,覆盖初始访问/持久化/权限提升/防御绕过/凭证访问/信息收集/横向移动等大类. Viper可以帮助你以直观/可视化的方式使用metasploit-framework. 项目地址:https://github.com/Funn
如何做好应急响应工作?常见应急响应流程
HBohan的博客
01-11 5787
1.应急响应的最终目标是保护客户的核心资产,所有行为必须围绕:保护、避害、不损害来进行。 2.在现在愈加复杂的攻击下,上述的常见场景一般会出现复合情况,需要应急人员根据经验去进行。 3.应急人员应有自己的方法论,对不同攻击的威胁建模,拥有威胁情报分析能力,结合工具的辅助进行现场响应与远程支撑。 4.工具和排查点大同小异,提升方法在于应急人员的是否熟悉该种攻击,利用特征和行为去排查更节省时间。 5.红蓝同源,应急响应属于蓝队,但必须具备一定的渗透能力。
黑客零基础入门 | 网络安全
HBohan的博客
11-11 5532
【学习资料】 导语 什么是Web安全?我又该如何入门学习它呢?学习过程中又应注意哪些问题呢?...或许你的心中有着这样的疑问、不过别着急,本文会为你一一解答这些问题。 正文 定义 Web安全,顾名思义便是由保障Web应用能够持续安全运行而衍生出的一个分支领域。 Web应用指的是一个网站的前端页面到后端服务,可以粗略的理解为一个网站及其配套的相关服务,该领域中常见的漏洞有SQL注入漏洞,XSS漏洞,CSRF漏洞等等,漏洞种类多样,趣味性强,较为适合新手入门。 下面为你介绍Web安全方面的常.
burpsuite CSRF Poc generater
最新发布
12-26
使用Burp SuiteCSRF PoC Generator模块,您可以按照以下步骤生成CSRF攻击的PoC(Proof of Concept)代码: 1. 打开Burp Suite并导入目标应用程序的配置。 2. 在Burp Suite的左侧导航栏中,选择"Proxy"选项卡,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值