检测CSRF漏洞
文章目录
手工检测
- 检测CSRF漏洞
- 手工检测
- 半自动检测
- 摘抄
前提
- CSRF只能通过用户的正规操作进行攻击,实际上就是劫持用户操作。
- 在检测前首先需要确定Web应用程序的所有功能
- 以及确定哪些操作是敏感的
- 比如修改密码、转账、发表留言等功能
第一步 抓取删除用户得数据包
第二步 编写CSRF POC
history.pushState('', '', '/')
第三步 提交poc查看
借助工具burpsuit
第一步 在管理员处添加用户
第二步 抓取数据包
第三步 右击—>Engagemet tools—> Generate CSRF PoC
第四步 保存poc,并访问
第五步 查看添加用户信息
一个人,想要把事情做好, 首先就要学好做人。 人品好了,才能赢得别人的信任; 别人信任你了,才会尊重你、帮助你。 一个人最好的通行证, 莫过于拥有好的人品, 堂堂正正做人, 本本分分做事。
