CSRF检测工具-CSRFTester(较老)
1.CSRFTester工具简介
CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
2. 安装环境
Windows 7 x64 系统
java 16
3. CSRFTester 使用流程
1)设置浏览器代理:127.0.0.1:8008
打开谷歌浏览器设置,进入高级设置选项:
打开局域网代理设置界面:
2)启动CSRF Tester
进入工具解压路径,运行bat文件:
3)捕获不安全访问数据包
点击工具操作界面的start recording后,启动一个未进行csrf防御的http服务,打开页面访问该服务
可以看到已经捕获到了提交表单数据包,点击停止记录,并删除不关心的捕获记录,最后点击Generate HTML生成文件。
4)修改生成的HTML,进行csrf攻击
在此处修改表单的值,保存后,用浏览器打开该文件,即完成了一次攻击。查看后台服务,发现后台被注入了一个新的记录。
老工具了,可以简单看看,burp那个插件其实就可以基本完成(看我上一篇文章即可。)