跨站請(qǐng)求偽造(Cross
Site Request Forgery)婚被”涂担可以在用戶毫不知情的情況下庶骄,以用戶的名義偽造請(qǐng)求發(fā)送給被攻擊站點(diǎn)陕悬,從而在未授權(quán)的情況下進(jìn)行權(quán)限保護(hù)內(nèi)的操作碴犬。
抓包
在history中找到相應(yīng)的請(qǐng)求
image.png
偽造請(qǐng)求
右擊選中的鏈接呢袱,選擇Engagement tools--->Generate CSRF Pos選項(xiàng),如下圖所示:
image.png
修改提交的參數(shù)
在彈出的對(duì)話框中翅敌,修改需要提交的參數(shù)羞福,然后生成攻擊腳本,再?gòu)?fù)制url在瀏覽器中測(cè)試蚯涮,具體步驟如下圖所示:
image.png
image.png
在瀏覽器中測(cè)試
將上一步復(fù)制的URL粘貼到瀏覽器中治专,點(diǎn)擊request按鈕,如下圖所示:
image.png
檢查請(qǐng)求是否成功
如果請(qǐng)求成功遭顶,則存在CSRF漏洞张峰。
