burpsuite之CSRF测试

最新推荐文章于 2024-05-17 23:58:59 发布
最新推荐文章于 2024-05-17 23:58:59 发布
阅读量1.6w 收藏 53
点赞数 14
分类专栏: burpsuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andyfeng088/article/details/80195105
版权

本测试以burpsuite与火狐浏览器为例

一、设置代理

这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。

这里写图片描述

这里写图片描述

这里写图片描述

这里写图片描述

这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。

这里写图片描述

二、抓包

火狐:

进入对应可能存在漏洞的网址或表单

·新增或修改表单:

(1) 新增/修改

(2) 填写表单

(3) 提交/保存

这里写图片描述

·找到抓取到提交表单的post包

这里写图片描述

三、伪造请求

·右键选择Engagement tools – Generate CSRF PoC

这里写图片描述

修改提交的参数—生成CSRF的HTML—在浏览器中测试

这里写图片描述

这里写图片描述

打钩后下次点击在浏览器中测试则默认复制CSRFHTML

点击copy后,直接在浏览器上的地址栏右键粘贴,回车
这里写图片描述

点击提交请求

这里写图片描述

但这不是重点,重点是查看刚才提交的信息是否成功被修改了或是成功新增了数据。

四、检查是否成功提交

这里写图片描述

信息被修改,或成功新增表单,则说明可以成功伪造请求进行操作,存在CSRF漏洞。

若无被修改/新增或在粘贴地址栏回车时页面出现错误,无法提交,则不存在CSRF漏洞

andyfeng088
关注
  • 14
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
【Burp入门第十二篇】使用BurpSuite实现CSRF+修改邮箱实战案例
等风来
04-06 876
4、此时一个对话框被打开,其中包含基于所选请求的 HTML。在 HTML 中,编辑要在 PoC 攻击中更改的字段中的值。7、查看浏览器中的响应和 Burp 的 HTTP 历史记录以查看是否发生了所需的操作。思路:是否存在简单的身份验证?使用Burp发现CSRF漏洞的过程如下。
CSRFburpsuite靶场实验
qq_64787896的博客
03-24 1401
第二步:复制该csrf令牌,修改carlos:montoya用户登陆,提交设置Email请求,抓包拦截。实验四:使用其他用户的csrf令牌,该实验证明csrf的token和用户没有联系。第一步:同上,提交绑定Email请求,开启burp suite代理拦截。第一步:使用wiener:peter提交设置Email请求,并抓包拦截。第五步:提交生成的payload,修改设置的Email,实验成功。第一步:开启burp suite代理拦截,设置Email并提交。第四步:提交修改的payload,实验成功。
burpsuite csrf攻击_「Burpsuite练兵场」CSRF(一)
weixin_39722070的博客
12-18 205
CSRF(Cross-site request forgery,跨站点请求伪造)是一种是挟制终端用户在当前已登录的Web应用程序上执行非本意操作的攻击方法,它允许攻击者诱导用户执行他们不打算执行的操作,并且该攻击可以部分规避同源策略。通过利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而...
32-CSRF攻击(简介、原理及实例、分类、检测、防范方法)
最新发布
XLbb的博客
05-17 1235
1、CSRF的攻击建立在浏览器与Web服务器的会话之中。2、欺骗用户访问URL。 CSRF漏洞一般分为站外和站内两种类型。 CSRF站外类型的漏洞本质上就是传统意义上的外部提交数据问题。 CSRF两个侧重点: 1、CSRF的攻击建立在浏览器与Web服务器的会话之中。 2、欺骗用户访问URL 防范方法:校验http referer字段,添加token值,白名单
burpsuite靶场——CSRF
qq_61768489的博客
12-26 1609
跨站点请求伪造(也称为 CSRF)是一种网络安全漏洞,允许攻击者诱使用户执行他们不打算执行的操作。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。
burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
wangluoanquan111的博客
03-19 1818
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
CSRF检测的两种方法
Later_future的博客
05-17 9298
CSRF检测的两种方法 方法1:CSRFTester-1.0 使用工具注意事项: run.bat中jdk的目录按当前电脑路径自行更改点击run.bat才可使用 关于浏览器进行代理问题须是HTTP的代理,在CSRFTester中才接收的到 功能略显不足,在部分测试页面中抓取的表单不能修改参数 这里使用metinfo5.3.1成功进行了工具的使用研究 1.登录metinfo5.3.1的后台创建test用户并使CSRFTester进行监听 2.停止监听,找到对应的请求进行参数修改这里创建了一个fu
抓包该报burpsuite
12-28
3. **扫描器**:BurpSuite还内置了自动扫描器,可以扫描目标网站寻找常见的安全漏洞,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。扫描结果会显示在"Scanner"模块,帮助测试者快速定位潜在风险。 4. **...
burpsuite使用技巧.docx
06-30
BurpSuite 还有很多其他功能,例如 CSRF 跨站请求伪造、intruder 等,初学者可以通过实践和学习来掌握这些功能,提高自己的工作效率和安全测试能力。 BurpSuite 是一个功能强大且广泛应用于 Web 应用程序安全测试的...
关于burpsuite修改http包的http实验
03-27
在网络安全领域,BurpSuite是一款非常流行的工具,主要用于测试Web应用程序的安全性。它集成了多种功能,包括拦截HTTP/S流量、修改请求和响应、爬网、扫描漏洞等。在这个实验中,我们将探讨如何使用BurpSuite来修改...
Burpsuite+1.7.26+无限制版
02-14
《全面解析Burp Suite 1.7.26 Unlimited版:强大的网络安全测试工具》 Burp Suite是一款由PortSwigger公司开发的专业网络安全测试工具,它主要用于Web应用的安全评估。本次介绍的是1.7.26的无限制版本,提供更全面...
CSRF检测工具
12-09
CSRFTester是一款CSRF检测工具 .
burp suite1.7.26破解版无时间限制
01-05
burp suite1.7.26破解版无时间限制 ,用于web安全性测试。 web中间人攻击 xss sql 注入 csrf 等常见漏洞 渗透测试必备
CSRF 攻击的应对之道
java旅程
09-06 482
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
DVWA系列(五)——使用Burpsuite进行CSRF(跨站请求伪造)
weixin_45116657的博客
09-18 2073
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与X...
CSRF漏洞渗透测试
Month_Cp的博客
11-03 981
介绍CSRF漏洞 CSRF(Cross-site request forgery,跨站请求构造)是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任网站。与XSS攻击相比,CSRF攻击往往不大流行也难以防范,所以被认为比XSS更具危险性。 CSRF漏洞的原理 其实可以这样理解CSRF:攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作。CSRF能够做的事情包括:以目标用户的名义发送邮件、发消息,盗取目标用
利用BURPSUITE检测CSRF漏洞
秃桔子的博客
05-08 2245
利用BURPSUITE检测CSRF漏洞 CSRF漏洞的手动判定:修改referer头或直接删除referer头,看在提交表单时,网站是否还是正常响应。 下面演示用BurpsuiteCSRF进行鉴定。 抓包。 成功修改密码完成漏洞的利用。 posted @ 2019-05-08...
渗透测试CSRF
黑面狐
01-08 5435
CSRF是跨站伪造请求,常见攻击手段发送csrf的连接,通过伪造请求从而受害者点击后会利用受害者的身份发起这个请求。例如新增一个账号,修改用户密码等等。 CSRF攻击成功有两个必须的条件。1.被伪造身份的目标曾在该浏览器上访问过CSRF站点,且cookies尚未过期。2.目标被引诱在该浏览器上访问了我们放置恶意代码的域名或网站。 接下来我们用bwapp演示CSRF。 例子一:第一个例子是利用
利用burp suite进行CSRF重放攻击
vaeloverforever的博客
12-16 4171
在windows xp系统中配置Damn Vulnerable Web Application (DVWA),借此安装一个web服务器,这个应用程序有若干基于web的漏洞,比如跨站脚本 (XSS), SQL注入, CSRF,命令注入等。 安装步骤 Step 1: 下载并安装XAMPP Step 2: 打开XAMPP Control Panel,开启Apache和MySQL服务 点击”S...
如何利用burp suite验证csrf漏洞
06-01
Burp Suite 是一款常用的 Web 渗透测试工具,可以用来验证 CSRF 漏洞。下面简要介绍一下如何利用 Burp Suite 验证 CSRF 漏洞: 1. 在 Burp Suite 中打开目标网站的页面,启用拦截功能; 2. 在目标网站页面上进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值