安全库:http://www.seclibs.com/
网络安全爱好者的安全导航,专注收集信安、红队常用网站、工具和技术博客
在平时的测试中,csrf也是比较容易发现的,主要就是看它对一个操作,有没有检测其时效性(这样表述可能不太准确),一般的防护方法就是添加token来进行校验,并及时对其进行失效处理。
以下所有代码都是我自己写的,可能有不美观,代码错误等等问题,希望大家可以指正。
在进行添加的时候进行抓包
利用burp自带的工具转成CSRF利用代码
此时,我们先看一下当前的内容
然后,就需要构造一个链接,然后想办法让受害者去点击它,然后执行我们预定的操作,这里我直接本地打开