CSRF跨站点请求伪造 测试工具以及测试步骤

测试工具：CSRFTester 1.0

下载链接： 提取码：60my

下载成功后解压点击运行run.bat文件。

运行结果如下图所示：

命令行显示代理ip和端口：127.0.0.1：8008 （根据自己电脑显示实际情况而定）

这里以谷歌浏览器做漏洞测试

打开谷歌浏览器设置浏览器代理地址为127.0.0.1：8008 （其他浏览器代理设置请自行百度）

以上工作做好后就可以开始测试了。

这里的测试环境是在本地局域网内，测试用例是在管理员登录后台管理后，进行用户管理的信息编辑操作。

在CSRFTester  软件界面点击Start Recording 按钮，然后开始编辑某一个用户信息，这里用的是test用户来测试。

测试如下图所示：

修改test用户的角色为日志审计员

CSRFTester 就捕捉到了一条新的post请求，如下图所示：

以上都是用户的正常操作，接下来可以在CSRFTester 界面中点击刚才修改用户角色的POST请求，在Form Parameters 面板中修改roleid为新的参数值（也即是修改test用户的角色），在Report Type 面板选项中选择你使用的提交方式，我这里用的是form提交，所以选择的是Forms选项，然后点击Generate HTML按钮, 接下来弹出一个文件保存位置选择界面，这里CSRFTester会生成一个html页面用来模拟CSRF攻击修改test用户的角色，仔细点可以发现，打开这个生成的html文件，查看源码，就可以看到他是如何模拟CSRF攻击的。 然后刷新，查看你的用户角色是否被修改了，如果没有被修改，那说明没有CSRF漏洞。