@Luminary
4年前 提问
1个回答

csrf 检测方法有什么

帅末
4年前

CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。

这里推荐使用CSRFTester-1.0检测。

CSRFTester是一款CSRF漏洞的测试工具。

工具的测试原理: 使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。

使用工具注意事项:

run.bat中jdk的目录按当前电脑路径自行更改点击run.bat才可使用

关于浏览器进行代理问题须是HTTP的代理,在CSRFTester中才接收的到

功能略显不足,在部分测试页面中抓取的表单不能修改参数

检测步骤

步骤1:设置浏览器代理

CSRFTester使用前需要设置代理,设置成功之后,我们在浏览器中的所有访问页面都将被CSRFTester抓取。

步骤2: 使用合法账户访问网站

首先打开CSRFTester工具,点击Start Recording,如下图-5所示,CSRFTester会将我们之后使用浏览器访问的所有页面,表单之类进行抓取记录。

步骤3:通过CSRF修改并伪造请求

CSRTTest将所有的页面表单都抓取下来了,等到抓取到了我们要做测试的页面时,就可以点击Stop Recording ,停止抓取URL,并开始修改相应的表单进行测试。