如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC
关于lazyCSRF
lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。
引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。
除此之外,在生成的CSRF PoC中,可以在Burp套件本身中显示的多字节字符经常会显示成乱码。因此,lazyCSRF便应运而生了。
功能介绍
· 使用XMLHttpRequest自动切换至PoC:参数为JSON情况,或请求为PUT/PATCH/DELETE的情况;
· 支持显示多字节字符;
· 使用Burp Suite社区版生成CSRF PoC(当然也适用于Burp Suite专业版);
多字节数据显示差异
下图中显示的是Burp Suite的CSRF PoC生成器与LazyCSRF之间在显示多字节字符时的差异。
LazyCSRF能够在不会混淆多字节字符的情况下生成CSRF PoC,而LazyCSRF也是Burp Suite中唯一一个不会混淆多字节字符或不会将多字节字符显示为乱码的插件工具。
工具安装
广大研究人员可以直接访问该项目的Releases页面下载编译好的JAR包。然后在Burp Suite中,点击“Extensions”标签页,然后选择“添加新的插件”。选择插件类型为“Java”,然后选择我们已下载的JAR。
工具使用
我们可以通过在菜单栏中选择“Extensions -> LazyCSRF -> Generate CSRF PoC By LazyCSRF”来生成一个CSRF PoC。
代码构建
首先,我们需要使用下列命令将该项目源码克隆至本地:
git clone https://github.com/tkmru/lazyCSRF.git
接下来,我们就可以选择下列方式来进行代码构建了。
Intellij构建
如果你使用的是IntelliJ IDEA,你就可以点击“Build -> Build Artifacts -> LazyCSRF:jar -> Build”来进行代码构建了。
命令行构建
我们也可以选择在命令行中使用maven进行代码构建:
$ mvn install
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。
项目地址
https://github.com/tkmru/lazyCSRF
相关文章
- Android OpenCV基础(一、OpenCV入门)
- Mac系统每次更改vscode中的文件都提示权限不足
- yolov7 ncnn安卓部署(pt->onnx->ncnn)
- VSCode 安装Flutter 教程
- iOS开发之Undefined symbol:_OBJC_CLASS_$_****
- 小程序打包体积过大的解决方案
- Android Studio App开发之使用摄像机录制视频和从视频库中选取视频的讲解及实战(附源码)
- iOS 国际化(多语言)
- MAC地址格式详解
- Android10 设置默认Launcher
- Mac OS 换源HomeBrew并安装Java11教程
- Qt for Android开发环境搭建(QtCreator6.0.1+Qt5.15.2/Qt6.2.2+win10)
- 微信小程序项目初始化配置
- 收藏这份Android Framework开发入门指南,带你步入Android系统开发的殿堂
- Mac系统 使用docker 安装 达梦数据库 并用DBeaver运行
- Android Studio实现外卖订餐系统
- Android12 源码下载、编译、刷机、单编调试Framework
- Mac M1安装配置OpenCV教程
- XDisplay 安装教程
- Mac的Safari浏览器如何打开检查元素【网页控制台】