關(guān)于lazyCSRF

lazyCSRF是一款功能強大的Burp Suite插件，該工具可以幫助廣大研究人員生成功能強大的CSRF(跨站請求偽造) PoC。Burp Suite是一個攔截HTTP代理，是執(zhí)行Web應用程序安全測試的強大工具。引入lazyCSRF之后，Burp Suite就可以直接生成CSRF PoC了。

在此之前，我比較喜歡使用的是“Generate CSRF PoC”，但這個插件無法自動判斷請求的內(nèi)容，而且它甚至還會使用“form”來生成無法用“form”表示的 PoC，例如使用JSON作為參數(shù)或PUT請求的情況。除此之外，在生成的CSRF PoC中，可以在Burp套件本身中顯示的多字節(jié)字符經(jīng)常會顯示成亂碼。因此，lazyCSRF便應運而生了。

功能介紹 使用XMLHttpRequest自動切換至PoC：參數(shù)為JSON情況，或請求為PUT/PATCH/DELETE的情況; 支持顯示多字節(jié)字符; 使用Burp Suite社區(qū)版生成CSRF PoC(當然也適用于Burp Suite專業(yè)版); 多字節(jié)數(shù)據(jù)顯示差異

下圖中顯示的是Burp Suite的CSRF PoC生成器與LazyCSRF之間在顯示多字節(jié)字符時的差異。

LazyCSRF能夠在不會混淆多字節(jié)字符的情況下生成CSRF PoC，而LazyCSRF也是Burp Suite中唯一一個不會混淆多字節(jié)字符或不會將多字節(jié)字符顯示為亂碼的插件工具。

工具安裝

廣大研究人員可以直接訪問該項目的【Releases頁面】下載編譯好的JAR包。然后在Burp Suite中，點擊“Extensions”標簽頁，然后選擇“添加新的插件”。選擇插件類型為“Java”，然后選擇我們已下載的JAR。

工具使用

我們可以通過在菜單欄中選擇“Extensions -> LazyCSRF -> Generate CSRF PoC By LazyCSRF”來生成一個CSRF PoC。

代碼構(gòu)建

首先，我們需要使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/tkmru/lazyCSRF.git

接下來，我們就可以選擇下列方式來進行代碼構(gòu)建了。

(1) Intellij構(gòu)建

如果你使用的是IntelliJ IDEA，你就可以點擊“Build -> Build Artifacts -> LazyCSRF:jar -> Build”來進行代碼構(gòu)建了。

(2) 命令行構(gòu)建

我們也可以選擇在命令行中使用maven進行代碼構(gòu)建：

$ mvn install 許可證協(xié)議

本項目的開發(fā)與發(fā)布遵循MIT開源許可證協(xié)議。

項目地址

lazyCSRF：【GitHub傳送門】

原文地址：https://www.freebuf.com/articles/web/305569.html

本文題目：如何使用lazyCSRF在BurpSuite上生成強大的CSRFPoC
轉(zhuǎn)載來源：http://jinyejixie.com/news/204316.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、云服務器、App設計、網(wǎng)頁設計公司、品牌網(wǎng)站制作、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)