CSRF跨站点请求伪造 测试工具以及测试步骤

测试工具:CSRFTester 1.0

下载链接: 提取码:60my

下载成功后解压点击运行run.bat文件。

运行结果如下图所示:

CSRF跨站点请求伪造 测试工具以及测试步骤_第1张图片

命令行显示代理ip和端口:127.0.0.1:8008 (根据自己电脑显示实际情况而定)

这里以谷歌浏览器做漏洞测试

打开谷歌浏览器设置浏览器代理地址为127.0.0.1:8008 (其他浏览器代理设置请自行百度)

以上工作做好后就可以开始测试了。

这里的测试环境是在本地局域网内,测试用例是在管理员登录后台管理后,进行用户管理的信息编辑操作。

在CSRFTester  软件界面点击Start Recording 按钮,然后开始编辑某一个用户信息,这里用的是test用户来测试。

测试如下图所示:

CSRF跨站点请求伪造 测试工具以及测试步骤_第2张图片

修改test用户的角色为日志审计员

CSRFTester 就捕捉到了一条新的post请求,如下图所示:

CSRF跨站点请求伪造 测试工具以及测试步骤_第3张图片

CSRF跨站点请求伪造 测试工具以及测试步骤_第4张图片

以上都是用户的正常操作,接下来可以在CSRFTester 界面中点击刚才修改用户角色的POST请求,在Form Parameters 面板中修改roleid为新的参数值(也即是修改test用户的角色),在Report Type 面板选项中选择你使用的提交方式,我这里用的是form提交,所以选择的是Forms选项,然后点击Generate HTML按钮, 接下来弹出一个文件保存位置选择界面,这里CSRFTester会生成一个html页面用来模拟CSRF攻击修改test用户的角色,仔细点可以发现,打开这个生成的html文件,查看源码,就可以看到他是如何模拟CSRF攻击的。 然后刷新,查看你的用户角色是否被修改了,如果没有被修改,那说明没有CSRF漏洞。

 

你可能感兴趣的:(web漏洞)