自动检测CSRF漏洞的工具

最新推荐文章于 2023-12-21 11:40:24 发布
最新推荐文章于 2023-12-21 11:40:24 发布
阅读量1k 收藏 1
点赞数
分类专栏: 网络安全 CSRF 文章标签: CSRF 网络安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51550750/article/details/124040372
版权

burp

抓包(有敏感接口的,比如转账)

右键----》Engagement Tools----〉Generate CSRF PoC

将HTML代码粘贴到sublime或者NotePad++

保存为xxxx.html

用网页打开本地文件(用file协议,不知道file协议是什么的建议直接把文件拖动到浏览器中)

网页中往往会有这样的一个箭头:

在这里插入图片描述

点击按钮,如果观察到原来的接口的网页发生了变化(比如金额减少等等),就是存在CSRF漏洞。

Bolt

Github地址:

https://github.com/s0md3v/Bolt

在这里插入图片描述

下载之后,注意有:
bolt.py

在这里插入图片描述

执行命令:
python bolt.py -u xxx

(xxx是你要检测的URL)

云产品

https://cloud.tencent.com/product/vss

付钱就能用

qq_51550750
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF检测工具
12-09
CSRFTester是一款CSRF检测工具 .
Bolt:CSRF扫描仪-源码
05-25
螺栓 笨拙的CSRF扫描仪 重要的 Bolt处于测试的Beta阶段,这意味着可能存在错误。 不鼓励使用此工具。 欢迎提出请求和问题。 如果您对此仓库感兴趣,我也建议您将它放在监视中。 工作流程 爬行 Bolt将目标网站爬网到指定的深度,并将找到的所有HTML表单存储在数据库中以进行进一步处理。 评估 在此阶段,Bolt找出不够强大的令牌和不受保护的形式。 比较中 此阶段专注于重播攻击场景的检测,因此检查令牌是否已发行多次。 它还计算所有令牌之间的平均,以查看它们是否相似。 还将令牌与250多种哈希模式的数据库进行比较。 观察 在此阶段,对单个网页同时发出100个请求,以查看是否为请求生成了相同的令牌。 测验 此阶段专用于CSRF保护机制的主动测试。 它包括但不限于检查moblie浏览器是否存在保护,使用自行生成的令牌提交请求以及测试是否将令牌检查到一定长度。 分析 在此阶段执行各种统计检查
CSRF漏洞利用工具 -- CSRFTester
weixin_41489908的博客
01-03 1923
烦恼大多来源于不够狠心,你处处顾忌别人,可谁有真正在意过你,其实,就是好的不够纯粹,坏的不够彻底,所以你才这么痛苦。。。 今天给大家介绍一款xss漏洞利用工具CSRFTester 一、环境:win7 二、用法 1、设置浏览器代理服务器:127.0.0.1:8008 2、运行软件,点击start 3、在页面输入要提交的数值,点击change 4、查看CSRFTester 5、修改提交的数据...
Github上的扫描器,方便查看使用
键盘上温暖而又美好的时光
11-23 837
Github上的扫描
CSRF ———— (三)CSRFTester自动化测试工具
weixin_43102772的博客
03-01 1944
1. CSRFTester介绍 CSRFTester是一款CSRF漏洞的测试工具.运行在windows上。 工作原理: 使用代理抓取我们在浏览器中访问过的所有的链接及表单信息,通过CSRFTester修改相应表单信息,重新提交,相当于伪造了一次客户端请求,如果测试的请求成功,被服务器接受,则证明存在CSRF漏洞。 2. 使用方法 2.1 打开chrome浏览器,设置代理 将代理设置为 127.0....
CSRFTester:一款CSRF漏洞的安全测试工具
02-26
CSRFTester:一款CSRF漏洞的安全测试工具CSRFTester是一款CSRF漏洞的测试工具,讲工具之前,先大概介绍一下CSRF漏洞CSRF英文全称是CrossSiteRequestForgery,常被叫做跨站点伪造请求,是伪造客户端请求的一种攻击形式,CSRF主要指通过伪装成来自受信任用户的请求来达到攻击目标网站的目的,CSRF在2000年就在国外被提出了,但是在国内被广泛使用应该算是从08年才开始,所以对很多人来说,可能还是比较陌生的。一个简单的CSRF漏洞利用示例就是网站管理员在点击了某个外部连接的时候,在不知情的情况下在自己的网站中增加了一个不法者设置的账户。CSRFTest
(29.1)【CSRF详解】CSRF原理、利用过程、分类、举例、工具……
04-06 9300
一个细节都不不想放过
CSRF检测工具(XSRF检测工具)使用说明
最新发布
墨痕诉清风的博客
12-21 1428
测试单个端点-u或--url要扫描的网站的主URL。这可能是URL端点或第一级域本身。抓取网站--crawl此选项允许您使用内置爬虫动态发现并同时测试所有已爬取的端点。注意:会生成大量针对目标的请求,因此在使用此选项时要小心。添加Cookie-c或--cookies此选项可帮助您提供一个逗号分隔的外部自定义cookie列表,这些cookie将在所有请求期间使用。自定义用户代理此选项()使能够提供自定义的用户代理值。请求超时--timeout7 seconds。
CSRF的检测与防御笔记
Yisitelz的博客
08-05 374
CSRF的检测,常用的有手动检测和半自动检测CSRF的防御包括二次确认:验证码、再次询问;Referer Check;Anti CSRF Token。防御主要是依靠Anti CSRF Token
【BurpSuite工具系】使用BurpSuite一次完整的测试CSRF漏洞
run_boy_2022的博客
06-14 689
在搜索选项 network.proxy.allow_hijacking_localhost jiang 将false修改为true,双击打开我们的burpsuite工具,将这里的监听端口改为8008。火狐浏览器地址栏添加 about:config。这样本地请求就可以监听到了。下载火狐浏览器设置网络代理。打开百度,浏览器提示这个。双击该选项就会为true。
CSRF漏洞的靶场实验
09-19
靶场试炼
CSRF漏洞自动化探测-01
09-15
CSRF漏洞自动化探测-01
CSRF漏洞详细说明
02-26
经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证...
CSRF漏洞的测试工具_CSRFTester
释梦燃的博客
04-19 1万+
CSRFTester是一款CSRF漏洞的测试工具. 工具的测试原理: 使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
安全测试工具IBM Rational AppScan的使用教程
热门推荐
小太阳~
02-16 2万+
AppScan是IBM公司开发的一款安全扫描软件,本篇博文来简单介绍如何使用这个工具来创建一个测试项目。一、打开AppScan软件,点击工具栏上的 文件–> 新建,出现一个dialog,如图所示: 二、点击 “Regular Scan”,出现扫描配置向导页面,这里是选择“Web应用程序扫描“,如图: 三、点击”下一步“,出现URL和服务器的配置页面,如图,输入需要测试的URL。 四、点击”下
burpsuite csrf攻击_「Burpsuite练兵场」CSRF(一)
weixin_39722070的博客
12-18 189
CSRF(Cross-site request forgery,跨站点请求伪造)是一种是挟制终端用户在当前已登录的Web应用程序上执行非本意操作的攻击方法,它允许攻击者诱导用户执行他们不打算执行的操作,并且该攻击可以部分规避同源策略。通过利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而...
漏洞扫描(kali beef-xss、DNSlog、CSRF、SSRF)
m0_61506558的博客
08-04 1439
并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口 探测、攻击内网网站等危害。,'.yourid.ceye.io/jinyiuxin'))),1,0) 黑体处拼接SQL语句。gopher协议:是一种信息查找系统,只支持文本,不支持图像,已被HTTP替代。第三方网站利用被攻击网站生效的cookie,直接对服务器接口发起请求。抓取正常通信请求的数据包,再请求一次。.........
漏洞篇(CSRF跨站请求伪造)
m0_58001548的博客
04-17 1441
CSRF(Cross-site request forgery,跨站请求伪造)也被称为 One Click Attack(单键攻击)或者 Session Riding,通常缩写为 CSRF 或者 XSRF。forgery [ˈfɔːdʒəri] 伪造;Riding [ˈraɪdɪŋ] 驾驭马匹;骑马。
怎么快速排查哪些接口有CSRF漏洞
03-22
1. 使用工具:可以使用一些专门用于检测CSRF漏洞工具,如Burp Suite、OWASP ZAP等,这些工具可以自动扫描网站中的接口,快速发现存在CSRF漏洞的接口。 2. 手动检测:可以通过手动测试网站中的接口,尝试构造恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值