burpsuite:CSRF测试简单说明;

最新推荐文章于 2025-04-17 16:29:58 发布
最新推荐文章于 2025-04-17 16:29:58 发布
阅读量4.7k 收藏 20
点赞数 5
分类专栏: # BurpSuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ak739105231/article/details/88640146
版权

【技术有限,水平一般;刚刚学习,多提意见!】

CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞;

CSRF攻击说明:攻击者(攻击者)利用受害者(受害者)尚未失效的身份认证信息(cookie,session等),以某种方式诱骗受害者点击攻击者精心制作的恶意链接或者访问包含恶意攻击代码的页面,当受害者触发成功之后,恶意代码会被执行,浏览器默默的向目标服务发出请求加载着受害者尚未失效的身份认证信息…………

一:首先说一下burpsuite工具的使用:

BurpSuite 1.7 原版+注册机 下载地址:

 https://pan.baidu.com/s/1nmUwNHAAPu2JhdRPIMeG-A    密码:ji61

注册机使用方法:

1.首先需要完成安装java及环境变量配置。

2.运行注册机:burp-loader-keygen.jar,而后点击run,license text 随便填,然后把生成的license 复制到打开的burp里,点击next

3.点击manual activation 手动激活

4.把request 粘贴至activation request ,自动生成response,复制它后粘贴到burp里最下面的response中,点击“”下一步 “”

5.点击Finish,ok

 6.【重点】第二次打开burp 要先打开burp-loader-keygen.jar ,再点击一下run,打开软件,不然直接打开主程序还是提示输入 license key

二:ok接下来说一下测试csrf测试;这个测试是对单一接口的访问测试;

1、网络代理设置

先设置浏览器的网络代理:127.0.0.1 :8080

2.burpsuite设置:(设置之前,先关闭录制,就是下一步的on-àoff

3.开始录制:

4.找到抓到的接口:

5.仿照请求:

6.修改提交的参数—生成CSRF的HTML—在浏览器中测试:

7.首次执行后,会有弹窗:

打钩后下次点击在浏览器中测试则默认复制CSRFHTML

点击copy后,直接在浏览器上的地址栏右键粘贴,回车 

注意:看结果,如果成功访问,或正常结果,则表示存在csrf漏洞,如果报:ForbiddenError: invalid csrf token;或者其他异常,则正常防御了csrf攻击;

Burp入门第十二篇】使用BurpSuite实现CSRF+修改邮箱实战案例
等风来
04-06 2867
4、此时一个对话框被打开,其中包含基于所选请求的 HTML。在 HTML 中,编辑要在 PoC 攻击中更改的字段中的值。7、查看浏览器中的响应和 Burp 的 HTTP 历史记录以查看是否发生了所需的操作。思路:是否存在简单的身份验证?使用Burp发现CSRF漏洞的过程如下。
【THM】Burp Suite:Other Modules(其他模块)-初级渗透测试
追风少年亚索的博客
03-31 1239
撰写本文目的仅仅提供个人查看笔记用途,大家可以去官网查看,都一样的
2、使用BurpSuite进行CSRF漏洞测试
D516701881的博客
12-18 6408
1.环境准备 1.1.PC端设置BurpSuite设置代理 打开BurpSuite>proxy>options,开启本地代理 导出CA证书,打开BurpSuite>proxy>options,点击Import/export CA certificate,导出证书到本地。 安装导出的证书到本地计算机,安装方法不再详述。 1.2.靶机环境 DVWA是著名的OWASP开放出来的一个在线web安全教、学平台。提供了:暴力破解、命令执行、CSRF、文件包含、SQL注入、XSS学习环境,并且分
[漏洞篇]CSRF漏洞详解
最新发布
weixin_45565886的博客
04-17 766
[漏洞篇]CSRF漏洞详解
burpsuiteCSRF测试
无敌轻车的博客
05-13 1110
测试burpsuite与火狐浏览器为例 一、设置代理 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 二、抓包 ...
burp靶场--CSRF
qq_33168924的博客
01-25 2948
应用程序不校验csrf的有效性,只是对比body中与cookie中csrf的值是否相同,相同就接受请求,由于搜索功能没有csrf保护,并且存在cookie注入,所以可以使用搜索中cookie注入修改cookie的csrf与bodycsrf一致造成csrf攻击。步骤1:登陆两个账户,将账户A的csrfkey与csrf值替换给第二个账户B中使用,用来请求修改邮箱地址,修改成功,但是由于cookie被修改会导致账户退出,并且发现搜索功能存在cookie注入【注入的数据可以修改客户端cookie设置】,所以结合。
【THM】Burp Suite: Intruder - 初级渗透测试
追风少年亚索的博客
03-30 1113
撰写本文目的仅仅提供个人查看笔记用途,大家可以去官网查看,都一样的
burpsuite csrf攻击_CSRF攻击的BurpSuite实战
weixin_42499363的博客
01-11 1002
今天做的是CSRF越权攻击,原理是通过在自己网站或者目标网站,通过模拟发包,替客户端发送请求。环境配置考虑其危害性,虽然不是很大,但是考虑到安全问题,所以本次演示需自己搭建实验环境,主要内容是用PHPstudy在本地搭建一个本地网站。下载并安装PHPstudy 寻找CSRF漏洞测试网站域名www.incake.net还是老步骤,注册,点击个人中心。然后进入“发票管理”页面: 此时,发票信息页面内容...
利用burp suite进行CSRF重放攻击
vaeloverforever的博客
12-16 4454
在windows xp系统中配置Damn Vulnerable Web Application (DVWA),借此安装一个web服务器,这个应用程序有若干基于web的漏洞,比如跨站脚本 (XSS), SQL注入, CSRF,命令注入等。 安装步骤 Step 1: 下载并安装XAMPP Step 2: 打开XAMPP Control Panel,开启Apache和MySQL服务 点击”S...
burpsuite csrf攻击_「Burpsuite练兵场」CSRF(一)
weixin_39722070的博客
12-18 281
CSRF(Cross-site request forgery,跨站点请求伪造)是一种是挟制终端用户在当前已登录的Web应用程序上执行非本意操作的攻击方法,它允许攻击者诱导用户执行他们不打算执行的操作,并且该攻击可以部分规避同源策略。通过利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而...
Burpsuite练兵场】CSRF
qq_33171856的博客
09-09 575
先登录实验室提供的账户,用bp抓点击修改邮箱地址的包,然后发到重放器,通过更改csrf令牌参数发现,请求被拒绝。先登录实验室提供的账户,用bp抓点击修改邮箱地址的包,然后发到重放器,删掉csrf参数,发现可以成功发送并跳转。发现不需要验证csrf令牌了,剩下的步骤和第一关一样,生成POC并发给受害者,即可完成实验。然后和上面的步骤一样生成POC发给受害者,即可完成实验。通过右键选择改变请求方式,改成GET请求,然后利用BP抓更新邮箱地址的提交按钮。保存,并交给受害者,即可完成实验。通过实验给的账户去登录。
Burp验证CSRF
per_se_veran_ce的博客
10-17 1608
1、使用AWVS扫描漏洞,找到可能存在CSRF的页面 2、找到可能存在CSRF的页面,抓包 右击生成CSRF POC 清除refer和cookie的影响 3、修改一些参数 4、点击Test in browser,弹出一个框,下面的just copy 打对勾 复制生成的url,在浏览器中访问 增加了一条新纪录,存在CSRF 信息被修改,或成功新增表单,则说明可以成功伪造...
BurpSuite工具系】使用BurpSuite一次完整的测试CSRF漏洞
run_boy_2022的博客
06-14 1307
在搜索选项 network.proxy.allow_hijacking_localhost jiang 将false修改为true,双击打开我们的burpsuite工具,将这里的监听端口改为8008。火狐浏览器地址栏添加 about:config。这样本地请求就可以监听到了。下载火狐浏览器设置网络代理。打开百度,浏览器提示这个。双击该选项就会为true。
burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
baimao__Ch的博客
07-04 1131
一、跨站点请求伪造(CSRF)1、简述:2、影响:3、原理:4、构造CSRF攻击实验1:无防御的CSRF漏洞5、利用CSRF6、针对CSRF的常见防御措施二、绕过CSRF令牌验证1、CSRF令牌2、CSRF令牌的验证取决于请求方法实验2:令牌验证取决于请求方法的CSRF3、CSRF令牌的验证取决于令牌是否存在实验3:CSRF,其中令牌验证取决于令牌是否存在4、CSRF令牌未绑定到用户会话实验4:令牌未绑定到用户会话的CSRF5、CSRF令牌绑定到非会话Cookie。
burpsuite靶场——CSRF
qq_61768489的博客
12-26 2248
跨站点请求伪造(也称为 CSRF)是一种网络安全漏洞,允许攻击者诱使用户执行他们不打算执行的操作。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。
csrf攻击原理与解决方法_WEB安全之CSRF
weixin_39909212的博客
11-20 1658
大家好,我是阿里斯,一名IT行业小白。今天分享的内容是CSRF相关知识,不求表哥们打赏,只求点点在看,点点转发。CSRF漏洞概述CSRF(Cross-Site Request Forgery),中文名为跨站请求伪造,是一种Web攻击方式。该漏洞是一种挟持用户在当前已登录的Web应用程序上执行非本意操作的攻击方法。通俗点说就是恶意攻击者窃取了你在某个网站的身份,以你的名义发送恶意请求。CS...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冷凝娇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值