CSRF跨站点请求伪造 测试工具以及测试步骤

最新推荐文章于 2023-01-18 11:25:36 发布
最新推荐文章于 2023-01-18 11:25:36 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: web漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30517167/article/details/100976653
版权

测试工具:CSRFTester 1.0

下载链接: 提取码:60my

下载成功后解压点击运行run.bat文件。

运行结果如下图所示:

命令行显示代理ip和端口:127.0.0.1:8008 (根据自己电脑显示实际情况而定)

这里以谷歌浏览器做漏洞测试

打开谷歌浏览器设置浏览器代理地址为127.0.0.1:8008 (其他浏览器代理设置请自行百度)

以上工作做好后就可以开始测试了。

这里的测试环境是在本地局域网内,测试用例是在管理员登录后台管理后,进行用户管理的信息编辑操作。

在CSRFTester  软件界面点击Start Recording 按钮,然后开始编辑某一个用户信息,这里用的是test用户来测试。

测试如下图所示:

修改test用户的角色为日志审计员

CSRFTester 就捕捉到了一条新的post请求,如下图所示:

以上都是用户的正常操作,接下来可以在CSRFTester 界面中点击刚才修改用户角色的POST请求,在Form Parameters 面板中修改roleid为新的参数值(也即是修改test用户的角色),在Report Type 面板选项中选择你使用的提交方式,我这里用的是form提交,所以选择的是Forms选项,然后点击Generate HTML按钮, 接下来弹出一个文件保存位置选择界面,这里CSRFTester会生成一个html页面用来模拟CSRF攻击修改test用户的角色,仔细点可以发现,打开这个生成的html文件,查看源码,就可以看到他是如何模拟CSRF攻击的。 然后刷新,查看你的用户角色是否被修改了,如果没有被修改,那说明没有CSRF漏洞。

 

Vanklin_0711
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF请求伪造,含使用教程和测试工具
05-04
CSRF请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞。
flask中的csrf防御机制
FreeSpider
07-17 2036
csrf概念 CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
CSRF攻击与防御
qq_41030039的博客
09-29 165
**CSRF:**站点请求伪造。简单理解就是黑客利用你的身份去访问正常网站,服务器认为这个请求时合法的,然后黑客就以你的名义发送邮件或者转走你的money。这个网站就存在CSRF漏洞。 攻击原理: 用户C访问受信任网站A,输入账号密码登录网站A。 通过验证后,网站A产生cookie信息返回给浏览器,此时用户登录成功,可正常访问A。 用户在未退出A之前,在同一浏览器中,去访问了网站B。 网站B接...
CSRF请求伪造
Gjqhs的博客
03-02 706
CSRF请求伪造 原理总结 一个CSRF漏洞攻击的实现,其需要由“三个部分”来构成 1、有一个漏洞存在(无需验证、任意修改后台数据、新增请求); 2、伪装数据操作请求的恶意链接或者页面; 3、诱使用户主动访问或登录恶意链接,触发非法操作: 第一部分 漏洞的存在 关键字:请求漏洞(CSR:CrossSiteRequest) 如果需要CSRF攻击能够成功,首先就需要目标站点或系统存在一个可以进行数据修改或者新增操作,且此操作被提交后台后的过程中,其未提供任何身份识别或校验的参数。后台只要收到..
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF站点请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Django CSRF请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
CSRF(请求伪造)
无痕的博客
01-18 7799
csrf请求伪造介绍、csrf攻击在dvwa环境中的应用
CSRF检测工具
12-09
CSRFTester是一款CSRF检测工具 .
浅谈请求伪造(CSRF)
A_dmin的博客
09-14 1830
浅谈请求伪造(CSRF)   这里简单的记录一下CSRF漏洞~~ 什么是CSRF?   CSRF(Cross-Site Request Forgery,站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送...
CSRFTester工具.zip
04-19
CSRFtester工具使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
CSRF漏洞的测试工具_CSRFTester
热门推荐
释梦燃的博客
04-19 1万+
CSRFTester是一款CSRF漏洞的测试工具. 工具的测试原理: 使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
CSRF自动化测试-CSRFTester
weixin_50464560的博客
03-26 1035
0x001 CSRFTester 简介  CSRFTester是一款CSRF漏洞的测试工具CSRFTester   CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。 0x002 CSRFTester 环境准备 Wind...
CSRF站点请求伪造原理及防御
杜小白的博客
04-21 410
一、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。图1 CSRF攻击原理1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3. ...
CSRF请求伪造介绍和防御方法
投资自己
05-26 4593
一、CSRF介绍CSRF(Cross-site request forgery)请求伪造,也被称为“OneClick Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF攻击与防御,web安全的第一防线。攻击流程:                用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网...
自动检测CSRF漏洞的工具
qq_51550750的博客
04-08 1102
burp 抓包(有敏感接口的,比如转账) 右键----》Engagement Tools----〉Generate CSRF PoC 将HTML代码粘贴到sublime或者NotePad++ 保存为xxxx.html 用网页打开本地文件(用file协议,不知道file协议是什么的建议直接把文件拖动到浏览器中) 网页中往往会有这样的一个箭头: 点击按钮,如果观察到原来的接口的网页发生了变化(比如金额减少等等),就是存在CSRF漏洞。 Bolt Github地址: https://github.com/s0m
站点请求伪造_安全测试 之 请求伪造
weixin_39989159的博客
12-14 289
CSRF也是WEB安全测试工作中常见的一种漏洞,今天就来介绍一下。01—什么是CSRFCSRF(Cross-site request forgery),中文名称:请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。02—CSRF能够做什么攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商...
渗透测试-请求伪造SSRF测试及防御方法
lza20001103的博客
04-28 825
请求伪造SSRF及防御方法
CSRFTester 1.0测试工具
ji823600977的博客
02-07 4866
下载地址:https://www.owasp.org/images/0/08/CSRFTester-1.0.zip
CSRF请求伪造漏洞
最新发布
12-06
CSRF(Cross-site request forgery)请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发CSRF攻击。攻击者可以通过这种方式窃取用户的个人信息、账号密码等敏感信息,或者进行一些非法操作,比如在用户不知情的情况下转账、购买商品等。 CSRF攻击的过程一般包括以下几个步骤: 1. 攻击者在第三方网站上设置陷阱,比如在网页中插入一个图片或者链接。 2. 用户在浏览器中访问第三方网站,触发了陷阱,浏览器会自动向被攻击网站发送请求。 3. 被攻击网站接收到请求后,会认为这是用户的合法请求,从而执行相应的操作,比如转账、购买商品等。 防御CSRF攻击的方法包括: 1. 在表单中添加随机的token,防止攻击者伪造请求。 2. 检查Referer头部,确保请求来源于合法的网站。 3. 在cookie中添加SameSite属性,限制cookie只能在同站点请求中发送,从而防止请求伪造攻击。 --相关问题--: 1. 什么是XSS漏洞? 2. 如何防御XSS攻击? 3

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值