CSRFTester安全测试工具使用

发表于:2022-5-05 09:30

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:刺猬_Hedgehog    来源:稀土掘金

  背景
  由于项目安全审查时,被发出安全警告,原因是存在CSRF漏洞,请求可能被恶意伪造。开发紧急修复后,需要测试是否修复漏洞再提交安全审查。借此记录下CSRF是什么,验证工具是什么。
  CSRF是什么?
  CSRF,即跨站点请求伪造(Cross Site Request Forgery),是一种劫持受信任用户向服务器发送非预期请求的攻击方式。通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。
  验证工具
  CSRFTester是一款CSRF漏洞的测试工具。其原理:使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
  CSRFTester使用
  1.设置浏览器代理:127.0.0.1:8008。
  2.启动CSRFTester,通过监听本地的8008端口来测试。
  3.点击【Start Recording】,然后在浏览器页面操作待测的功能。
  4.在CSRFTester里找到提交的表单数据包,修改想要修改的数据,然后点击右下角的【Generate HTML】保存到指定目录,生成一个index.html文件。
  5.用浏览器打开上一步生成的HTML文件,将自动运行里面的JavaScript脚本,如果请求成功被网站服务器接受,说明存在CSRF注入,否则不存在。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
价值398元的测试课程免费赠送,填问卷领取吧!

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计

法律顾问:上海漕溪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2023
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号