bring_coco的博客

一．存储型XSS与CSRF（在存储型xss中加入CSRF） 1.配置代理 2.打开CSRFTester工具 3.抓取流量 注意：Form Parameters需要将左面的两行复制过去可修改，第二个红箭头的勾选最好去掉，因为有时候自动生成的poc不能用，需要做一些更改，最后点击Generate HTML进行保存至自定义目录下，名称csrf5.html 4.查看代码把容易被人发现的代码去掉 将两个圈的地方去掉，将红箭头那两行必须value值相等 更改完成一半，还需要一句更改密码 CSRF代码成功

实验环境：phpstudy, DVWA，burpsuite 演示过程： <1>使用burp代理提交内容 （代理推荐使用FoxyProxy小插件） <2>burp中寻找CSRF POC自动化生成选项 <3>可以看到如下为自动化生成POC 自动化编写有时候有些是不能用的，最好是自己改一些 <4>将HTML代码复制到新建的csrf.html中 <5>将其打开 <6>点击请求 可以看到成功改变密码。 这种方式虽然成功了，但是必须跟