【BurpSuite工具系】使用BurpSuite一次完整的测试CSRF漏洞

已于 2023-06-28 14:29:17 修改
阅读量862 收藏 4
点赞数 2
分类专栏: 安全 文章标签: csrf 前端
于 2023-06-14 16:28:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/run_boy_2022/article/details/131189210
版权

双击打开我们的burpsuite工具,将这里的监听端口改为8008

下载火狐浏览器设置网络代理

添加手动设置代理

打开百度,浏览器提示这个

 选择BurpSuite工具导出ca证书

 

这个时候,我们 打开火狐浏览器 导入我们的证书

 

 

 刷新请求百度

但是当我们访问localhost本地项目接口的时候,burpsuite工具没有检测到,怎么处理呢

火狐浏览器地址栏添加 about:config

在搜索选项 network.proxy.allow_hijacking_localhost  将false修改为true,

双击该选项就会为true

 这样本地请求就可以监听到了

 找到我们需要抓包的接口,选择CSRF poc生成工具

 

 在生成的poc窗口修改参数,点击浏览器测试按钮

 

 将对应的url地址复制到浏览器地址栏访问

 点击submitRequest按钮,结果竟然执行成功  表示存在csrf漏洞

这里在网上也找到一篇关于 burpsuite简单使用的系列文章,大家也可以简单了解

当然下一篇我会介绍,怎么去防御csrf漏洞

奔跑吧,小子
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Burp入门第十二篇】使用BurpSuite实现CSRF+修改邮箱实战案例
等风来
04-06 875
4、此时一个对话框被打开,其中包含基于所选请求的 HTML。在 HTML 中,编辑要在 PoC 攻击中更改的字段中的值。7、查看浏览器中的响应和 Burp 的 HTTP 历史记录以查看是否发生了所需的操作。思路:是否存在简单的身份验证?使用Burp发现CSRF漏洞的过程如下。
CSRFTester:一款CSRF漏洞的安全测试工具
02-26
CSRFTester:一款CSRF漏洞的安全测试工具CSRFTester是一款CSRF漏洞测试工具,讲工具之前,先大概介绍一下CSRF漏洞CSRF英文全称是CrossSiteRequestForgery,常被叫做跨站点伪造请求,是伪造客户端请求的一种攻击形式,CSRF主要指通过伪装成来自受信任用户的请求来达到攻击目标网站的目的,CSRF在2000年就在国外被提出了,但是在国内被广泛使用应该算是从08年才开始,所以对很多人来说,可能还是比较陌生的。一个简单的CSRF漏洞利用示例就是网站管理员在点击了某个外部连接的时候,在不知情的情况下在自己的网站中增加了一个不法者设置的账户。CSRFTest
强大 CSRF 攻击利用工具 —— CSRFT
最新发布
gitblog_00010的博客
06-03 285
强大 CSRF 攻击利用工具 —— CSRFT 项目地址:https://gitcode.com/PaulSec/CSRFT 项目简介 CSRFT 是一个用于跨站请求伪造(CSRF漏洞利用的综合工具包,它通过一个简单的 NodeJS HTTP 服务器与受害者进行交互,以发送和执行恶意JavaScript负载。该工具的核心目标是简化 CSRF 漏洞PoC 验证过程。 项目技术分析 完全使用 ...
使用burp生成CSRFPOC验证CSRF
bring_coco的博客
12-14 2835
实验环境:phpstudy, DVWA,burpsuite 演示过程: <1>使用burp代理提交内容 (代理推荐使用FoxyProxy小插件) <2>burp中寻找CSRF POC自动化生成选项 <3>可以看到如下为自动化生成POC 自动化编写有时候有些是不能用的,最好是自己改一些 <4>将HTML代码复制到新建的csrf.html中 <5>将其打开 <6>点击请求 可以看到成功改变密码。 这种方式虽然成功了,但是必须跟
burpsuiteCSRF测试
热门推荐
andyfeng088的博客
05-04 1万+
测试burpsuite与火狐浏览器为例 一、设置代理 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 这个记得先置为off,因为on的意思是 开启拦截,所以先关闭拦截才能成功提交表单。 二、抓包 火狐: 进入对应可能存在漏洞的网址或表单 ·新增或修改表单: (1) 新增/修改 (2) 填写表单 (3...
CSRF Tester工具使用教程
Kata的博客
04-23 5431
1. CSRFTester 简介 CSRFTester工具测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。 2. 安装环境 Windows 7 x64 统 java 16 3. CSRFTester 使用流程 1)设置浏览器代理:127.0.0.1:8...
CSRF漏洞原理及攻击方式 防护方法有哪些
白帽黑客鹏哥的博客
12-11 1349
CSRF是一种攻击方式,它利用用户已经登录的浏览器发起恶意请求。攻击者诱导用户点击链接或访问恶意网站,利用用户当前的登录状态,无意中发送请求到受信任的网站。
CSRFTester使用方法
m0_65283068的博客
09-17 890
CSRFTester使用方法
CSRF的检测与防御笔记
Yisitelz的博客
08-05 472
CSRF的检测,常用的有手动检测和半自动检测。CSRF的防御包括二次确认:验证码、再次询问;Referer Check;Anti CSRF Token。防御主要是依靠Anti CSRF Token
DVWA列(五)——使用Burpsuite进行CSRF(跨站请求伪造)
weixin_45116657的博客
09-18 2070
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与X...
csrf-poc-creator:用于CSRF概念验证的Burp Suite扩展
05-11
csrf-poc创建者用于CSRF概念验证的Burp Suite扩展作者:@rammarj 您可以下载所有源代码并自己进行编译,也可以下载jar文件并开始使用burp csrf-poc-creator
burpsuite使用技巧.docx
06-30
BurpSuite 是一款功能强大且广泛应用于 Web 应用程序安全测试工具,今天我们将分享一些 BurpSuite使用技巧,帮助初学者快速掌握这个强大的工具。 0×01 BurpSuite 中文乱码问题解决 在使用 BurpSuite 的时候...
burpsuite使用教程
09-12
Burp Suite是一款强大的网络安全工具,专为Web应用程序的安全测试而设计。本教程将深入探讨如何利用Burp Suite进行有效的Web攻防操作。 一、Burp Suite基础设置与重复提交比较 首先,理解Burp Suite的基本设置至关...
csrf:适用于Burp Suite Pro的CSRF扫描仪扩展
05-15
适用于Burp Suite Pro的CSRF扫描仪扩展 要求 Burp Suite Pro 如果要从头开始编译代码,则还需要以下内容: (编译到.jar或复制到Burp的Java Environment目录中)
burpsuite工具
01-17
标题中的"burpsuite工具"指的是Burp Suite专业版,这是一款广泛使用的渗透测试工具,主要服务于那些需要确保其Web应用免受攻击的专业人士,如安全研究人员、开发人员和企业安全团队。 描述中提到"burpsuite最新版的...
如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC
HBohan的博客
12-07 1094
lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。
Burpsuite 插件的学习与使用
Goodric的博客
07-21 1754
burp 可以使用三种语言编写的扩展插件,Java、python 和 ruby 。 除Java外,其它两种语言需要的扩展插件需要专门的配置运行环境。即 Location of Jython(Ruby) standalone JAR file: 这个选项需要下载的环境路径。...
渗透测试CSRF
黑面狐
01-08 5434
CSRF是跨站伪造请求,常见攻击手段发送csrf的连接,通过伪造请求从而受害者点击后会利用受害者的身份发起这个请求。例如新增一个账号,修改用户密码等等。 CSRF攻击成功有两个必须的条件。1.被伪造身份的目标曾在该浏览器上访问过CSRF站点,且cookies尚未过期。2.目标被引诱在该浏览器上访问了我们放置恶意代码的域名或网站。 接下来我们用bwapp演示CSRF。 例子一:第一个例子是利用
burpsuite CSRF Poc generater
12-26
Burp Suite是一款功能强大的网络安全测试工具,其中包含了许多模块和功能。其中一个模块就是CSRF PoC Generator(跨站请求伪造漏洞利用工具)。CSRF PoC Generator可以帮助安全测试人员生成针对跨站请求伪造漏洞的利用代码。 使用Burp Suite的CSRF PoC Generator模块,您可以按照以下步骤生成CSRF攻击的PoC(Proof of Concept)代码: 1. 打开Burp Suite并导入目标应用程序的配置。 2. 在Burp Suite的左侧导航栏中,选择"Proxy"选项卡,然后选择"Intercept"子选项卡。 3. 在浏览器中访问目标应用程序,并在Burp Suite的Intercept选项卡中捕获请求。 4. 在捕获的请求中,找到您想要生成CSRF PoC的请求。 5. 右键单击该请求,选择"Send to CSRF PoC Generator"。 6. 在CSRF PoC Generator窗口中,您可以选择生成的代码类型(例如HTML、JavaScript等)以及其他参数。 7. 点击"Generate"按钮生成CSRF PoC代码。 8. 将生成的代码复制到您的测试环境中,然后进行进一步的测试和验证。 请注意,CSRF PoC Generator只是Burp Suite的一个模块之一,您还可以使用其他模块和功能来进行更全面的安全测试漏洞利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值