CSRF测试:Burp Suite使用

已于 2022-06-15 13:49:04 修改
阅读量1.9k 收藏 7
点赞数 2
分类专栏: IDEA Burp Suite 文章标签: IntelliJ IDEA
于 2019-11-26 14:51:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012235980/article/details/103256162
版权

 目录

一、浏览器配置HTTP代理(以Firefox为例)

二 、Burp Suite配置代理

三、抓包、伪造请求

四、提交请求、检测是否成功

一、浏览器配置HTTP代理(以Firefox为例)

1.选项-设置

2.手动代理配置:HTTP代理,127.0.0.1,8080

二 、Burp Suite配置代理

1.配置代理Burp Suite-Proxy-Options,如图

三、抓包、伪造请求

1.选择需要测试的网页操作

注:Proxy-Intercept-保持off状态

2.Proxy--HTTP history--找到抓取到的POST包

3.右建--Engagement tools-- Generate CSRF PoC

 

4.伪造请求:

Params--修改Value值--Regenerate( 生成CSRF HTML)--Test in browser--Copy URL

 改URL--Test in browser

 注:首次点击Test in browser会生成一个弹框、用于Copy生成的URL,若勾选底部选择框,后续不再出现,默认复制URL

四、提交请求、检测是否成功

1.浏览器地址栏复制粘贴并访问

 2.点击Submit request

 

3.检测是否成功

若存在新增数据或者数据被修改,说明伪造数据成功,存在 CSRF漏洞;反之不存在。

 

Dannywxd
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Burp入门第十二篇】使用BurpSuite实现CSRF+修改邮箱实战案例
等风来
04-06 854
4、此时一个对话框被打开,其中包含基于所选请求的 HTML。在 HTML 中,编辑要在 PoC 攻击中更改的字段中的值。7、查看浏览器中的响应和 Burp 的 HTTP 历史记录以查看是否发生了所需的操作。思路:是否存在简单的身份验证?使用Burp发现CSRF漏洞的过程如下。
Burp验证CSRF
per_se_veran_ce的博客
10-17 1476
1、使用AWVS扫描漏洞,找到可能存在CSRF的页面 2、找到可能存在CSRF的页面,抓包 右击生成CSRF POC 清除refer和cookie的影响 3、修改一些参数 4、点击Test in browser,弹出一个框,下面的just copy 打对勾 复制生成的url,在浏览器中访问 增加了一条新纪录,存在CSRF 信息被修改,或成功新增表单,则说明可以成功伪造...
详解入门安全测试最难懂的概念 —— CSRF
liwenxiang629的博客
12-19 705
对于刚刚入门安全的同学来说,csrf是最难理解的概念之一,本文会用最简单的方式对csrf进行讲解,包括csrf的定义,csrf典型的攻击流程以及如何对其进行防范,希望本文能够帮到大家!
渗透测试基础知识普及之CSRF
Zhongdongding的博客
04-21 665
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者通过伪造用户的请求,来执行一些非法操作,例如修改账户信息、发表评论、转账等。在进行安全渗透测试时,测试人员需要对应用程序进行CSRF测试,以发现和修复潜在的漏洞。测试人员可以使用Burp Suite等工具,来修改请求头中的CSRF Token,以绕过防御机制。同时,也需要定期进行安全渗透测试,以发现和修复潜在的漏洞。总之,进行CSRF测试需要测试人员具备一定的技能和经验,以发现和修复潜在的漏洞。
使用burp suite验证是否存在csrf漏洞
good good study
03-17 6595
burp suite中集成了验证csrf漏洞的poc,直接使用就可以,不用自己构建表单了,非常方便。用pikachu的csrf来进行验证吧。 CSRF(get) 提交修改个人信息后,截取数据包,选择如下 如下,我们将原本的手机111...修改为2222,复制burp构造的表单链接,在同一个浏览器打开(没有退出登录的前提下) 点击 数据被修改成功,存在csrf CSRF(POST) 也是一样的方式,就不再演示,如果数据被修改成功,则存在漏洞 CSRF(Token) 由于携带了
burpsuiteCSRF测试简单说明;
白骨梦儿
03-18 4549
【技术有限,水平一般;刚刚学习,多提意见!】 CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞; CSRF攻击说明:攻击者(攻击者)利用受害者(受害者)尚未失效的身份认证信息(cookie,session等),以某种方式诱骗受害者点击攻击者精心制作的恶意链接或者访问包含恶意...
csrf:适用于Burp Suite Pro的CSRF扫描仪扩展
05-15
适用于Burp Suite Pro的CSRF扫描仪扩展 要求 Burp Suite Pro 如果要从头开始编译代码,则还需要以下内容: (编译到.jar或复制到Burp的Java Environment目录中)
burpsuite使用技巧.docx
06-30
BurpSuite 还有很多其他功能,例如 CSRF 跨站请求伪造、intruder 等,初学者可以通过实践和学习来掌握这些功能,提高自己的工作效率和安全测试能力。 BurpSuite 是一个功能强大且广泛应用于 Web 应用程序安全测试的...
csrf-poc-creator:用于CSRF概念验证的Burp Suite扩展
05-11
csrf-poc创建者用于CSRF概念验证的Burp Suite扩展作者:@rammarj 您可以下载所有源代码并自己进行编译,也可以下载jar文件并开始使用burp csrf-poc-creator
burp suite1.7.26破解版无时间限制
01-05
burp suite1.7.26破解版无时间限制 ,用于web安全性测试。 web中间人攻击 xss sql 注入 csrf 等常见漏洞 渗透测试必备
burpsuite-copy-as-xmlhttprequest:复制为XMLHttpRequest BurpSuite扩展
03-30
安装从发行版下载最新的JAR或手动构建使用选项卡将JAR添加到burpsuite:“扩展程序”->“扩展名”->“添加”用法从任何选项卡中选择一个请求,或者在“代理”->“ HTTP历史记录”选项卡中选择几个请求调用上下文菜单...
burp靶场--CSRF
最新发布
qq_33168924的博客
01-25 1306
应用程序不校验csrf的有效性,只是对比body中与cookie中csrf的值是否相同,相同就接受请求,由于搜索功能没有csrf保护,并且存在cookie注入,所以可以使用搜索中cookie注入修改cookie的csrf与bodycsrf一致造成csrf攻击。步骤1:登陆两个账户,将账户A的csrfkey与csrf值替换给第二个账户B中使用,用来请求修改邮箱地址,修改成功,但是由于cookie被修改会导致账户退出,并且发现搜索功能存在cookie注入【注入的数据可以修改客户端cookie设置】,所以结合。
BurpSuite工具系】使用BurpSuite一次完整的测试CSRF漏洞
run_boy_2022的博客
06-14 840
在搜索选项 network.proxy.allow_hijacking_localhost jiang 将false修改为true,双击打开我们的burpsuite工具,将这里的监听端口改为8008。火狐浏览器地址栏添加 about:config。这样本地请求就可以监听到了。下载火狐浏览器设置网络代理。打开百度,浏览器提示这个。双击该选项就会为true。
CSRF的检测与防御笔记
Yisitelz的博客
08-05 456
CSRF的检测,常用的有手动检测和半自动检测。CSRF的防御包括二次确认:验证码、再次询问;Referer Check;Anti CSRF Token。防御主要是依靠Anti CSRF Token
burpsuite csrf攻击_「Burpsuite练兵场」CSRF(一)
weixin_39722070的博客
12-18 197
CSRF(Cross-site request forgery,跨站点请求伪造)是一种是挟制终端用户在当前已登录的Web应用程序上执行非本意操作的攻击方法,它允许攻击者诱导用户执行他们不打算执行的操作,并且该攻击可以部分规避同源策略。通过利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而...
CSRF——黑盒测试
2301的博客
11-10 292
DVWA的CSRF模块全级别黑盒测试
2、使用BurpSuite进行CSRF漏洞测试
D516701881的博客
12-18 4344
1.环境准备 1.1.PC端设置BurpSuite设置代理 打开BurpSuite>proxy>options,开启本地代理 导出CA证书,打开BurpSuite>proxy>options,点击Import/export CA certificate,导出证书到本地。 安装导出的证书到本地计算机,安装方法不再详述。 1.2.靶机环境 DVWA是著名的OWASP开放出来的一个在线web安全教、学平台。提供了:暴力破解、命令执行、CSRF、文件包含、SQL注入、XSS学习环境,并且分
burpsuite生成POC验证CSRF过程及原理
热门推荐
qq_41123867的博客
02-19 1万+
一.CSRF漏洞成因: 浏览器访问web服务器A,登录状态下,再用同一个浏览器访问了恶意服务器B,服务器B返回给浏览器的页面中含有要求访问服务器A的恶意代码,用户不知情的情况下点击后,导致服务器A接收到来自服务器B的通过浏览器发起的恶意请求 根据上图可知,要验证CSRF,需要在访问网站A后获得cookie后,再访问一个会返回恶意代码的网站B,返回的恶意代码必须能导致访问网站A ,如果能通过返回的...
burpsuite CSRF Poc generater
12-26
Burp Suite是一款功能强大的网络安全测试工具,其中包含了许多模块和功能。...请注意,CSRF PoC Generator只是Burp Suite的一个模块之一,您还可以使用其他模块和功能来进行更全面的安全测试和漏洞利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值