2018Web攻防训练营CSRF漏洞自动化探测www.itjc8.com1.手动探测原理2.自动化探测工具介绍3.自动化探测工具使用4.利用CSRF漏洞课程内容01手动探测原理手动探测原理手动探测原理在于探测web应用程序具有防止CSRF的措施。如果Web应用程序的HTTP请求中没有对应的预防措施,那么很大程度上就确定存在CSRF漏洞。02自动化探测工具介绍自动化探测工具介绍CSRFTester是一款CSRF漏洞的测试工具。CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。下载地址:https://www.owasp.org/index.php/File:CSRFTester-1.0.zip03自动化探测工具使用自动化探测工具使用1、设置浏览器代理:127.0.0.1:80082、登录Web应用程序,提交表单,在CSRF工具中修改表单内容,查看是否更改,如果更改表面存在CSRF漏洞。3、生产POC代码。04利用CSRF漏洞利用CSRF漏洞使用服务器搭建CSRFPOC访问页面。一定不要轻易点击一些未知链接。1.手动探测原理2.自动化探测工具介绍3.自动化探测工具使用4.利用CSRF漏洞总结再见欢迎关注Web安全训练营课程
