CSRFTester:一款CSRF漏洞的安全测试工具
CSRFTester是一款CSRF漏洞的测试工具,讲工具之前,先大概介绍一下CSRF漏洞,CSRF英文全称是Cross Site Request Forgery,常被叫做跨站点伪造请求,是伪造客户端请求的一种攻击形式,CSRF主要指通过伪装成来自受信任用户的请求来达到攻击目标网站的目的,CSRF在2000年就在国外被提出了,但是在国内被广泛使用应该算是从08年才开始,所以对很多人来说,可能还是比较陌生的。一个简单的CSRF漏洞利用示例就是网站管理员在点击了某个外部连接的时候,在不知情的情况下在自己的网站中增加了一个不法者设置的账户。
CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
CSRFTester在 BackTrack4 R2下已经内置,具体调用方法如下图-1所示:通过依次选择菜单中"Backtrack"-" Web Application Analysis"-"Web(fronted)"-"CSRFTester"即可打开一个列举出CSRFTester使用参数的Shell。当然,也可以在BT4下打开任意一个Shell,进入到/pentest/cisco/oscanner目录下,输入./ oscanner.sh命令即可使用该工具。
图-1
CSRFTester使用方法
我们通过一个示例来了解CSRFTester工具吧!具体步骤如下:
步骤1:设置浏览器代理
CSRFTester使用前需要设置代理,设置成功之后,我们在浏览器中的所有访问页面都将被CSRFTester抓取。
配置火狐浏览器的代理,在edit中选择perferences,进行代理设置,如下图-2所示:
图-2
选择选择advanced配置中的network选项卡,点击setting,如下图-3所示:
图-3
文章来源于领测软件测试网 https://www.ltesting.net/
