CSRFTester工具下载以及CSRFTester工具使用教程

CSRFTester-1.0-src.zip

↑↑↑↑↑↑↑↑↑↑↑↑↑↑ 点击下载CSRFTester

下载解压后，打开dist文件，打开run.bat运行软件。

准备条件

CSRFTester1.0工具

自己搭建的某cms

启动CSRFTester并在浏览器中设置好代理。

查看弹出的界面。

浏览器代理设置为127.0.0.1:8008

开始测试

浏览器开好代理，在要测试的页面填好信息，在确认前打开CSRFTester的start recording，抓取后，马上关闭，减少干扰项，如下图，先点2，再点1，提示成功添加后在点2。

分析抓到的包

下面两个没有携带数据，没有什么用，直接右键删除，我们主要看第一个包。

框里面是我们刚才提交的数据，现在改成其他的数据。

生成html，点击forms类型，不要勾选dispiay in browser，然后点击generate html后选择存放位置，我放桌面上。

测试是否有csrf

登录后台后，使用同一个浏览器打开生成的html。

提示添加成功，管理员中也出现了这个用户，说明这个漏洞是存在的。

总结

1.学习CSRFTester的简单使用

2.形成的原因是没有采用类似token的方法来进行校验

3.尽量少抓数据包，减少干扰项