burpsuite csrf攻击_CSRF攻击的BurpSuite实战

最新推荐文章于 2024-06-19 17:20:57 发布
最新推荐文章于 2024-06-19 17:20:57 发布
阅读量894 收藏 5
点赞数
文章标签: burpsuite csrf攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42499363/article/details/112825589
版权

今天做的是CSRF越权攻击,原理是通过在自己网站或者目标网站,通过模拟发包,替客户端发送请求。

环境配置

考虑其危害性,虽然不是很大,但是考虑到安全问题,所以本次演示需自己搭建实验环境,主要内容是用PHPstudy在本地搭建一个本地网站。

下载并安装PHPstudy

寻找CSRF漏洞

测试网站域名www.incake.net

还是老步骤,注册,点击个人中心。

然后进入“发票管理”页面:

此时,发票信息页面内容为空:

点击添加发票信息并打开BurpSuite抓包

按CTRL+R或者单击右键点击sendto repeater

在Repeater中我们发现这个数据包是存在CSRF漏洞的,不论我们点击GO重放这个数据包几次,都会在发票页中添加新的发票。

制作POC

因此我们可以在这个数据包页面上单击右键-Engagementtools-Generate CSRF POC

在新弹出的页面中,BurpSuite自动生

最低0.47元/天 解锁文章
努力奋斗的Brian
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
burpsuite_pro_v1.5.18
08-11
这里我们关注的是它的专业版——"burpsuite_pro_v1.5.18"。 在Burp Suite Pro中,主要包含了以下几个核心组件: 1. **Proxy**:代理服务器是Burp Suite的核心,它作为浏览器和目标Web应用之间的中间人。通过配置...
burpsuite_pro_v1.4.07
06-15
标题"burpsuite_pro_v1.4.07"指的是该软件的专业版,版本号为1.4.07。在描述中同样提到了"burpsuite_pro_v1.4.07",这表明我们讨论的是一个关于Burp Suite Pro的特定版本。 Burp Suite由PortSwigger公司开发,它是...
burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
baimao__Ch的博客
06-19 993
一、跨站点请求伪造(CSRF)1、简述:2、影响:3、原理:4、构造CSRF攻击实验1:无防御的CSRF漏洞5、利用CSRF6、针对CSRF的常见防御措施二、绕过CSRF令牌验证1、CSRF令牌2、CSRF令牌的验证取决于请求方法实验2:令牌验证取决于请求方法的CSRF3、CSRF令牌的验证取决于令牌是否存在实验3:CSRF,其中令牌验证取决于令牌是否存在4、CSRF令牌未绑定到用户会话实验4:令牌未绑定到用户会话的CSRF5、CSRF令牌绑定到非会话Cookie。
渗透入侵\burpsuite_pro_v1.5.18.zip
07-15
3. **intruder模块**:这是Burp Suite的一个强大功能,用于执行自动化攻击,如字典攻击和模式匹配攻击。在渗透测试中,Intruder可以帮助测试者发现弱口令、敏感数据泄露等问题。 4. **爬虫**:内置的爬虫能够自动...
csrf:适用于Burp Suite Pro的CSRF扫描仪扩展
05-15
适用于Burp Suite Pro的CSRF扫描仪扩展 要求 Burp Suite Pro 如果要从头开始编译代码,则还需要以下内容: (编译到.jar或复制到Burp的Java Environment目录中)
burpsuite_pro_v1.7.30
06-26
在标题“burpsuite_pro_v1.7.30”中,我们可以看出这是Burp Suite Professional的一个版本号,v1.7.30,意味着这是该软件的一个特定更新迭代。 描述中的“渗透神器,非常强大,网络安全爱好者必会”揭示了Burp ...
基于Hog和SVM的行人检测python源码+文档说明
08-05
<项目介绍> 这是采用Hog和SVM的行人检测。 步骤 1,运行crop_image 剪裁负样本的图片 2,运行detection.cpp 进行HOG的提取和SVM的训练 3,运行find_save_hardexample训练hardneg 4,运行detection.cpp 生成最终的SVM模型 5,如果需要检测生成模型的xml,可以运训test_mai - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
最新直播系统带商城源码 附搭建教程(价值2w多)
08-05
最新直播系统带商城源码 附搭建教程 功能介绍: 礼物系统:普通礼物、豪华礼物、热门礼物、守护礼物、幸运礼物 提现方式:统一平台提现日期及方式,方便用户执行充值提现操作 连麦送礼PK:主播之间可进行互动连麦送礼PK,PK结束有相应的奖惩 直播间红包:平台主播及用户都可发红包,有多种红包类型及红包提醒 主播守护:可进行平台充值,守护心仪的主播,主播守护时长有多种设置 小视频拍摄:单独的小视频模块,包含视频列表,视频拍摄、编辑、上传、互动等 引导图功能:优化更新系统引导图,后台可上传图片或视频内容,视频内容可跳过 动态:点击动态可进入动态详情页,包含话题的动态点击话题可进入该话题动态列表,可查看该话题下所有动态信息,用户可对动态进行点赞、评论、举报等操作 商城:可通过商品名称搜索商品,搜索后可根据销量价格等进行筛选 商品详情:查看商品的名称价格销量评价等信息,可进入店铺,可与客服沟通,可直接购买 直播观看送礼提示:用户赠送礼物后,直播间公屏聊天处有送礼提示 直播购物车:观众在直播间中可查看主播直播购物车中的商品,点击某个商品跳转到商品介绍页面,商品介绍上有购买按钮,
[毕业设计]Java轻量级即时通讯客户端设计与开发(源代码+论文).zip
08-05
[毕业设计]Java轻量级即时通讯客户端设计与开发(源代码+论文)
预算申购单-账簿凭证-采购管理.xlsx
08-05
销售管理表,财务报表,占比分析,消费能力分析,日程安排,提成表,考核表 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
LSPosed-v1.9.3_mod-7244-zygisk-release.zip
08-05
LSPosed-v1.9.3_mod-7244-zygisk-release.zip
销售员业绩销售分析看板.xlsx.xlsx
08-05
销售管理表,财务报表,占比分析,消费能力分析,日程安排,提成表,考核表 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
[毕业设计]Java医药质量控制与追溯系统(源代码+论文).zip
08-05
[毕业设计]Java医药质量控制与追溯系统(源代码+论文)
基于STM32检测的简易太阳能发电、用电装置
08-05
基于STM32检测的简易太阳能发电、用电装置
免费下载分享一些互联网大厂的面试题以及答案和经验-有问题可以私信解决
08-05
这份精心策划的【笔试面试题】资源是一份程序员晋升路上不可或缺的参考资料。它汇集了各大企业、技术巨头历年来的各类笔试及面试难题,涉及算法、数据结构、系统设计、数据库管理等多个核心领域。500页的内容深度解析,不仅涵盖基础理论测试,还包括实际项目案例分析,让考生能全面理解技术本质并提升解题策略。 本资源特色在于其丰富的题目类型,包括选择题、填空题、编程题以及开放性问题,旨在模拟真实工作场景,帮助读者磨炼思维敏捷度和问题解决能力。每个问题后配有详尽解答和解析,深入剖析思路路径,便于学习者查漏补缺,提高应对挑战的能力。 无论你是准备求职初入职场的新手,还是欲进一步提升技能的资深开发者,这本书都能成为你备考过程中的得力助手。通过掌握这里的知识,你将更有信心面对面试官,展示出卓越的技术实力和应变智慧。
[毕业设计]Java超市智能分析与决策支持系统(源代码+论文).zip
08-05
[毕业设计]Java超市智能分析与决策支持系统(源代码+论文)
Huawei网络设备安全加固规范.doc
08-05
Huawei网络设备安全加固规范.doc
MFCopencv绘图板源码MFCopencv绘图板源码
最新发布
08-05
opencv,MFCopencv绘图板源码
面向对象C++重要培训资料分享2面向对象C++开发技术资料.zip
08-05
面向对象C++重要培训资料分享2面向对象C++开发技术资料.zip
burpsuite CSRF Poc generater
12-26
使用Burp Suite的CSRF PoC Generator模块,您可以按照以下步骤生成CSRF攻击的PoC(Proof of Concept)代码: 1. 打开Burp Suite并导入目标应用程序的配置。 2. 在Burp Suite的左侧导航栏中,选择"Proxy"选项卡,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值