關(guān)于lazyCSRF
lazyCSRF是一款功能強(qiáng)大的Burp Suite插件���,該工具可以幫助廣大研究人員生成功能強(qiáng)大的CSRF(跨站請求偽造) PoC�。Burp Suite是一個攔截HTTP代理����,是執(zhí)行Web應(yīng)用程序安全測試的強(qiáng)大工具。引入lazyCSRF之后���,Burp Suite就可以直接生成CSRF PoC了���。
成都創(chuàng)新互聯(lián)是一家專業(yè)提供阜陽企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站設(shè)計(jì)��、網(wǎng)站建設(shè)、html5�、小程序制作等業(yè)務(wù)����。10年已為阜陽眾多企業(yè)����、政府機(jī)構(gòu)等服務(wù)����。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。
在此之前��,我比較喜歡使用的是“Generate CSRF PoC”�����,但這個插件無法自動判斷請求的內(nèi)容,而且它甚至還會使用“form”來生成無法用“form”表示的 PoC��,例如使用JSON作為參數(shù)或PUT請求的情況。除此之外�,在生成的CSRF PoC中��,可以在Burp套件本身中顯示的多字節(jié)字符經(jīng)常會顯示成亂碼。因此�,lazyCSRF便應(yīng)運(yùn)而生了���。
功能介紹
- 使用XMLHttpRequest自動切換至PoC:參數(shù)為JSON情況,或請求為PUT/PATCH/DELETE的情況;
- 支持顯示多字節(jié)字符;
- 使用Burp Suite社區(qū)版生成CSRF PoC(當(dāng)然也適用于Burp Suite專業(yè)版);
多字節(jié)數(shù)據(jù)顯示差異
下圖中顯示的是Burp Suite的CSRF PoC生成器與LazyCSRF之間在顯示多字節(jié)字符時的差異����。
LazyCSRF能夠在不會混淆多字節(jié)字符的情況下生成CSRF PoC�,而LazyCSRF也是Burp Suite中唯一一個不會混淆多字節(jié)字符或不會將多字節(jié)字符顯示為亂碼的插件工具���。
工具安裝
廣大研究人員可以直接訪問該項(xiàng)目的【Releases頁面】下載編譯好的JAR包。然后在Burp Suite中���,點(diǎn)擊“Extensions”標(biāo)簽頁,然后選擇“添加新的插件”�����。選擇插件類型為“Java”,然后選擇我們已下載的JAR����。
工具使用
我們可以通過在菜單欄中選擇“Extensions -> LazyCSRF -> Generate CSRF PoC By LazyCSRF”來生成一個CSRF PoC���。
代碼構(gòu)建
首先����,我們需要使用下列命令將該項(xiàng)目源碼克隆至本地:
- git clone https://github.com/tkmru/lazyCSRF.git
接下來,我們就可以選擇下列方式來進(jìn)行代碼構(gòu)建了�。
(1) Intellij構(gòu)建
如果你使用的是IntelliJ IDEA�,你就可以點(diǎn)擊“Build -> Build Artifacts -> LazyCSRF:jar -> Build”來進(jìn)行代碼構(gòu)建了。
(2) 命令行構(gòu)建
我們也可以選擇在命令行中使用maven進(jìn)行代碼構(gòu)建:
- $ mvn install
許可證協(xié)議
本項(xiàng)目的開發(fā)與發(fā)布遵循MIT開源許可證協(xié)議���。
項(xiàng)目地址
lazyCSRF:【GitHub傳送門】
文章名稱:如何使用lazyCSRF在BurpSuite上生成強(qiáng)大的CSRFPoC
瀏覽地址:
http://uogjgqi.cn/article/dhhgocd.html
