如何通过lazyCSRF在Burp Suite上生成强大的CSRF PoC
发布时间:2021-12-15 11:23:42 所属栏目:安全 来源:互联网
导读:关于lazyCSRF lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。
|
关于lazyCSRF lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。 在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。除此之外,在生成的CSRF PoC中,可以在Burp套件本身中显示的多字节字符经常会显示成乱码。因此,lazyCSRF便应运而生了。 功能介绍 使用XMLHttpRequest自动切换至PoC:参数为JSON情况,或请求为PUT/PATCH/DELETE的情况; 支持显示多字节字符; 使用Burp Suite社区版生成CSRF PoC(当然也适用于Burp Suite专业版); 多字节数据显示差异 下图中显示的是Burp Suite的CSRF PoC生成器与LazyCSRF之间在显示多字节字符时的差异。 LazyCSRF能够在不会混淆多字节字符的情况下生成CSRF PoC,而LazyCSRF也是Burp Suite中唯一一个不会混淆多字节字符或不会将多字节字符显示为乱码的插件工具。 代码构建 首先,我们需要使用下列命令将该项目源码克隆至本地: git clone https://github.com/tkmru/lazyCSRF.git 接下来,我们就可以选择下列方式来进行代码构建了。 (1) Intellij构建 如果你使用的是IntelliJ IDEA,你就可以点击“Build -> Build Artifacts -> LazyCSRF:jar -> Build”来进行代码构建了。 (2) 命令行构建 我们也可以选择在命令行中使用maven进行代码构建: $ mvn install 许可证协议 本项目的开发与发布遵循MIT开源许可证协议。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐