目录
一、浏览器配置HTTP代理(以Firefox为例)
1.选项-设置
2.手动代理配置:HTTP代理,127.0.0.1,8080
二 、Burp Suite配置代理
1.配置代理Burp Suite-Proxy-Options,如图
三、抓包、伪造请求
1.选择需要测试的网页操作
注:Proxy-Intercept-保持off状态
2.Proxy--HTTP history--找到抓取到的POST包
3.右建--Engagement tools-- Generate CSRF PoC
4.伪造请求:
Params--修改Value值--Regenerate( 生成CSRF HTML)--Test in browser--Copy URL
改URL--Test in browser
注:首次点击Test in browser会生成一个弹框、用于Copy生成的URL,若勾选底部选择框,后续不再出现,默认复制URL
四、提交请求、检测是否成功
1.浏览器地址栏复制粘贴并访问
2.点击Submit request
3.检测是否成功
若存在新增数据或者数据被修改,说明伪造数据成功,存在 CSRF漏洞;反之不存在。