CSRFTester的自动化测试——实战ESP_CMS

于 2024-09-06 16:31:05 发布
阅读量517 收藏 4
点赞数 10
分类专栏: CSRF跨站请求伪造攻击 文章标签: csrf 笔记 经验分享 网络安全 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73049307/article/details/141963175
版权

首先要搭建ESP_CMS,先下载espcms的zip压缩包,解压后放到phpstudy2018的WWW目录下:

(注意:要使用管理员账户登录得访问http://127.0.0.1/espcms/upload/adminsoft/index.php,访问http://127.0.0.1/espcms/upload/index.php是没法用管理员账户登录的)

先去FoxyProxy添加CSRFTester项,填写必要信息:

选择”CSRFTester“项:

先开启CSRFTester监听功能,再去espcms的“添加会员账户”功能中添加NanYuan用户,还是一样的填写必要信息:

等点击页面的“确认添加”就会看到CSRFTester中出现了表单数据包:

找到对应的表单数据包,修改username=test,email=test@test.com,再点击生成html文件:

用vscode打开index.html,删掉下图中的<form></form>内容:

再用firefox浏览器打开index.html,看到“true”,回到espcms网页刷新一下就可以看到成功添加test用户了:

CSRFTester的自动化测试试验成功!

南暮思鸢
关注
专栏目录
使用 CSRFTester 进行自动化探测 CSRF 漏洞
Cwillchris的博客
07-12 1585
1、探测的目的探测的目的是:探测 web 应用程序是否具有防止 CSRF 的措施。如果 Web 应用程序的 HTTP 请求中没有对应的预防措施,那么很大程度上就确定存在 CSRF 漏洞2、自动化探测工具介绍实验环境:win7 虚拟机中步骤如下(1)启动 CSRFTester需要安装 JDK8,这个 JDK8 在前面安装 burpsuite 已经安装了。这里就不用安装了。(2)火狐浏览器设置代理(3)火狐访问DVWA,并登录,选择XSS(Store)(4)随便输入数据开启CSRF-Tester纪录切换到浏览器
ESP32-C3入门教程 网络篇⑨——基于esp_https_ota实现史上最简单的ESP32 OTA远程固件升级功能
小康师兄
10-24 1706
ESP32-C3入门教程 网络篇⑨——基于esp_https_ota实现史上最简单的ESP32 OTA远程固件升级功能
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞。
CSRF自动化测试-CSRFTester
weixin_50464560的博客
03-26 1113
0x001 CSRFTester 简介  CSRFTester是一款CSRF漏洞的测试工具。 CSRFTester   CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。 0x002 CSRFTester 环境准备 Wind...
CSRF Tester工具使用教程
Kata的博客
04-23 5885
1. CSRFTester 简介 CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。 2. 安装环境 Windows 7 x64 系统 java 16 3. CSRFTester 使用流程 1)设置浏览器代理:127.0.0.1:8...
CSRFTester使用方法
m0_65283068的博客
09-17 931
CSRFTester使用方法
ESP32-C3入门教程 网络篇⑩——基于esp_https_ota和MQTT实现开机主动升级和被动触发升级的OTA功能
小康师兄
10-25 1664
ESP32-C3入门教程 网络篇⑩——基于esp_https_ota和MQTT实现开机主动升级和被动触发升级的OTA功能
ESP32-C3入门教程 问题篇⑦—— fatal error: esp_bt.h: No such file or directory 找不到esp_bt.h
小康师兄
06-22 2773
ESP32-C3入门教程 问题篇⑦—— fatal error: esp_bt.h: No such file or directory 找不到esp_bt.h
ESP32-C3入门教程 问题篇⑧——blufi_example.c:244: undefined reference to `esp_ble_gap_start_advertising
小康师兄
06-22 1779
ESP32-C3入门教程 问题篇⑧——blufi_example.c:244: undefined reference to `esp_ble_gap_start_advertising
CSRFTester工具.zip
04-19
CSRFtester工具使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
CSRFTester-1.0
07-22
CSRFTester-1.0
CSRFTester.zip
08-14
解压密码:teamssix.com CSRFTester-1.0,一款CSRF隐蔽代码生成工具,该工具生成的代码在用户打开链接执行代码后直接302跳转到原来的界面,不会像burp生成的代码还有按钮,执行后也不跳转到原来页面。 关于这个工具的用法可以参考我之前写的文章里的内容:https://www.freebuf.com/vuls/225096.html
ESP32-C3入门教程 问题篇⑩——error: implicit declaration of function ‘esp_blufi_close‘;
小康师兄
07-01 921
ESP32-C3入门教程 问题篇⑩——error: implicit declaration of function 'esp_blufi_close';
CSRF检测的两种方法
Later_future的博客
05-17 9721
CSRF检测的两种方法 方法1:CSRFTester-1.0 使用工具注意事项: run.bat中jdk的目录按当前电脑路径自行更改点击run.bat才可使用 关于浏览器进行代理问题须是HTTP的代理,在CSRFTester中才接收的到 功能略显不足,在部分测试页面中抓取的表单不能修改参数 这里使用metinfo5.3.1成功进行了工具的使用研究 1.登录metinfo5.3.1的后台创建test用户并使CSRFTester进行监听 2.停止监听,找到对应的请求进行参数修改这里创建了一个fu
web安全---CSRF漏洞/OWASP-CSRFTester的使用
最新发布
嘿嘿嘿
04-28 1387
跨站请求伪造 Cross Site Request Forgery。
esp_restart和esp_cpu_reset
06-07
`esp_restart`和`esp_cpu_reset`都是ESP-IDF中用于重置芯片的函数,但它们有不同的用途和使用方法。 `esp_restart`函数用于软件重启芯片,它会将芯片重置到引导加载程序(bootloader)并重新启动。这个函数可以用于更新应用程序或配置文件,以及在出现故障时进行快速恢复。在使用这个函数之前,建议先保存重要的数据。 `esp_cpu_reset`函数用于硬件重置芯片,它会将所有CPU和外设复位到初始状态。这个函数可以用于解决芯片死锁、异常重启或其他硬件问题。在使用这个函数之前,建议先检查硬件连接和电源稳定性,以避免硬件损坏。 需要注意的是,在使用这两个函数时,都需要在代码中显式地包含头文件`esp_system.h`,并遵循ESP-IDF的编程规范。此外,这两个函数都是阻塞式的,即在调用时会暂停程序的执行,直到芯片重启或复位完成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值