个人中心
文章发布
退出
作者热门文章
- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
28
4
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了.
在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。除此之外,在生成的CSRF PoC中,可以在Burp套件本身中显示的多字节字符经常会显示成乱码。因此,lazyCSRF便应运而生了.
下图中显示的是Burp Suite的CSRF PoC生成器与LazyCSRF之间在显示多字节字符时的差异.
LazyCSRF能够在不会混淆多字节字符的情况下生成CSRF PoC,而LazyCSRF也是Burp Suite中唯一一个不会混淆多字节字符或不会将多字节字符显示为乱码的插件工具.
广大研究人员可以直接访问该项目的【Releases页面】下载编译好的JAR包。然后在Burp Suite中,点击“Extensions”标签页,然后选择“添加新的插件”。选择插件类型为“Java”,然后选择我们已下载的JAR.
我们可以通过在菜单栏中选择“Extensions -> LazyCSRF -> Generate CSRF PoC By LazyCSRF”来生成一个CSRF PoC.
首先,我们需要使用下列命令将该项目源码克隆至本地:
接下来,我们就可以选择下列方式来进行代码构建了.
(1) Intellij构建 。
如果你使用的是IntelliJ IDEA,你就可以点击“Build -> Build Artifacts -> LazyCSRF:jar -> Build”来进行代码构建了.
(2) 命令行构建 。
我们也可以选择在命令行中使用maven进行代码构建:
本项目的开发与发布遵循MIT开源许可证协议.
lazyCSRF:【GitHub传送门】 。
原文地址:https://www.freebuf.com/articles/web/305569.html 。
最后此篇关于如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC的文章就讲到这里了,如果你想了解更多关于如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
28
4
0
我的应用程序是单页应用程序。它有以下模块.. 添加用户、编辑用户、删除用户、设置。 ETC。, 我使用 Burp Proxy 收集了 HTTP 历史记录中的所有 url。 我想对我指出的模块进行扫描、
所以我一直在尝试使用我的手机通过 burp 获取请求/SSL。基本上我多次非常仔细地遵循这些步骤: Configuring your Browser to work with Burp Configu
Burp+Xray的联动使用 步骤如下, 1)首先,我们启动Xray的url监听功能,我们设置监听地址为127.0.0.1,端口为7777。监听的报告输出到xray文件夹根目录下的pro
最近需要在burp的intruder模块中写一个自定义的payload generator 然后我google了一下,按照网上的文章去做,但是有两个界面,我不知道该怎么做。 我应该同时实现它们还是什么
我想将 Burp 配置为我的 java 代码的代理,以查看请求和响应。Burp 作为 Web 浏览器之间的代理可以很好地工作,但它不适用于 Java 应用程序。 我已经在代码中添加了这样的行: Web
有一个Juice Shop易受攻击的应用程序,可作为docker镜像使用。我正在Windows 10上对其进行测试。 我能够使用以下命令运行该应用程序: docker pull bkimminich/
我正在使用 jquery mobile 开发混合 android 移动应用程序并在手机间隙运行我的应用程序。我想使用 BURP 套件测试此应用程序的安全问题。我是 BURP Suite 的新手。如何将
我正在开发具有 的应用程序SSL pinning 未实现 安全点开放。 下面这个方法负责使用 SSL 代码调用 API。我已经浏览了android官方文档。代码几乎相似。 private SSLSoc
我看到很多人都在谈论这2个工具 Burp 套件和 Wireshark 最适合渗透测试,但我很好奇它们各自的优缺点是什么?他们每个人在哪里会更好地使用,有什么区别? 最佳答案 Burp Suite是 申
我从昨天开始就面临这个问题,Burp 在尝试导入插件的 .jar 文件时开始显示以下错误,但 Netbeans 编译它没有问题。我通过 pom.xml 文件中的 Maven 依赖项导入 Seleniu
我正在尝试运行 Burp Suite 代理来从我的手机进行一些测试。 我已经设置了 Burp Suite 社区版 2.1.04我已将我的 wifi 设置为使用计算机的 IP 地址作为代理> 选项> 代
我正在尝试运行 Burp Suite 代理来从我的手机进行一些测试。 我已经设置了 Burp Suite 社区版 2.1.04我已将我的 wifi 设置为使用计算机的 IP 地址作为代理> 选项> 代
在 Burp Suite 中,来自 Project Options -> SSL我们可以使用特定主机名的密码导入 PKCS#12 文件。 我尝试使用以下命令手动导出 block 和 key 文件,然后
有没有一种方法可以隐藏在提交表单时回传的键和值。因为这些键值可以被黑客使用安全测试工具(例如 burp 套件)篡改吗? 最佳答案 虽然 HTTPS 用于保护传输中的数据,但没有切实可行的方法来防止用户
我有一个网站:https://abs:8443/myweb我使用 burp suite 作为本地代理: proxyIP = "127.0.0.1" proxyPort = 8080 然后我尝试通过 b
我有一个应用程序使用 OAuth 让用户登录 Linkedin。 应用或浏览器快速连续向 linkedin 发送两个 OAuth 请求,导致 LinkedIn 在几毫秒内返回两个响应。 这两个重复的请
当我遇到它的加密时,我试图让自己熟悉它的基本概念,简而言之,它的功能如下, 现在我看到我公司的 QA 工程师使用这个叫做 burp-suite 的工具来拦截请求。 我感到困惑的是,即使数据流经加密 c
为了获取 BurpSuite 报告,我尝试使用 REST API 将我的应用程序与 BurpSuite Scanner 集成。谁能帮我这个。 最佳答案 目前,Burp 没有内置的 REST API。一
我在默认网关上以透明模式设置了 burp 代理。 Burp 套件向基于 Web 的 HTTPS 客户端显示自签名证书并拦截流量。但是,它无法拦截基于 IP 的流量。 例如它可以拦截https://ab
我已正确配置 Burp 以在代理位置进行拦截 127.0.0.1:9090 我的 Internet Explorer 代理设置如下: 我还有一个名为 WebGoat 的网络服务器在 http://lo
我是一名优秀的程序员,十分优秀!