关于lazyCSRF
lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。除此之外,在生成的CSRF PoC中,可以在Burp套件本身中显示的多字节字符经常会显示成乱码。因此,lazyCSRF便应运而生了。
功能介绍
- 使用XMLHttpRequest自动切换至PoC:参数为JSON情况,或请求为PUT/PATCH/DELETE的情况;
- 支持显示多字节字符;
- 使用Burp Suite社区版生成CSRF PoC(当然也适用于Burp Suite专业版);
多字节数据显示差异
下图中显示的是Burp Suite的CSRF PoC生成器与LazyCSRF之间在显示多字节字符时的差异。
LazyCSRF能够在不会混淆多字节字符的情况下生成CSRF PoC,而LazyCSRF也是Burp Suite中唯