日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
CSRFTester:一款CSRF漏洞的測試工具

CSRFTester是一款CSRF漏洞的測試工具,講工具之前,先大概介紹一下CSRF漏洞,CSRF英文全稱是Cross Site Request Forgery,常被叫做跨站點偽造請求,是偽造客戶端請求的一種攻擊形式,CSRF主要指通過偽裝成來自受信任用戶的請求來達(dá)到攻擊目標(biāo)網(wǎng)站的目的,CSRF在2000年就在國外被提出了,但是在國內(nèi)被廣泛使用應(yīng)該算是從08年才開始,所以對很多人來說,可能還是比較陌生的。一個簡單的CSRF漏洞利用示例就是網(wǎng)站管理員在點擊了某個外部連接的時候,在不知情的情況下在自己的網(wǎng)站中增加了一個不法者設(shè)置的賬戶。

更多安全工具>>進(jìn)入專題

更多網(wǎng)管軟件>>進(jìn)入專題

CSRFTester工具的測試原理大概是這樣的,使用代理抓取我們在瀏覽器中訪問過的所有的連接以及所有的表單等信息,通過在CSRFTester中修改相應(yīng)的表單等信息,重新提交,相當(dāng)于一次偽造客戶端請求,如果修測試的請求成功被網(wǎng)站服務(wù)器接受,則說明存在CSRF漏洞,當(dāng)然此款工具也可以被用來進(jìn)行CSRF攻擊。

CSRFTester在 BackTrack4 R2下已經(jīng)內(nèi)置(BackTrack4 R2下載鏈接),具體調(diào)用方法如下圖-1所示:通過依次選擇菜單中"Backtrack"-" Web Application Analysis"-"Web(fronted)"-"CSRFTester"即可打開一個列舉出CSRFTester使用參數(shù)的Shell。當(dāng)然,也可以在BT4下打開任意一個Shell,進(jìn)入到/pentest/cisco/oscanner目錄下,輸入./ oscanner.sh命令即可使用該工具。

圖-1 #p#

CSRFTester使用方法

我們通過一個示例來了解CSRFTester工具吧!具體步驟如下:

步驟1:設(shè)置瀏覽器代理

CSRFTester使用前需要設(shè)置代理,設(shè)置成功之后,我們在瀏覽器中的所有訪問頁面都將被CSRFTester抓取。

配置火狐瀏覽器的代理,在edit中選擇perferences,進(jìn)行代理設(shè)置,如下圖-2所示:

圖-2

選擇選擇advanced配置中的network選項卡,點擊setting,如下圖-3所示:

圖-3

然后進(jìn)行代理設(shè)置,如下圖-4所示:

圖-4

此處我們設(shè)置CSRFTester代理地址為127.0.0.1 ,端口為8008。代理設(shè)置完成,就可以使用CSRFTester工具了。 #p#

步驟2: 使用合法賬戶訪問網(wǎng)站

首先打開CSRFTester工具,點擊Start Recording,如下圖-5所示,CSRFTester會將我們之后使用瀏覽器訪問的所有頁面,表單之類進(jìn)行抓取記錄。

圖-5

然后打開火狐瀏覽器,訪問我們要測試的網(wǎng)站,CSRFTester工具會將所有訪問的鏈接抓取,如下圖-6所示,我們訪問wordpress的新增賬戶頁面。

圖-6

我們新增一個賬戶test,如下圖-7所示,為網(wǎng)站目前的存在的賬戶。

圖-7 #p#

步驟3:通過CSRF修改并偽造請求

CSRTTest將所有的頁面表單都抓取下來了,等到抓取到了我們要做測試的頁面時,就可以點擊Stop Recording ,停止抓取URL,并開始修改相應(yīng)的表單進(jìn)行測試,如下圖-8所示:

圖-8

Stop Recording之后,我們點擊要測試的URL,然后修改相應(yīng)的表單信息,如下圖-9所示:

圖-9

如上圖-9所示為我們抓取的增加用戶的頁面,紅色區(qū)域為增加用戶的表單信息,現(xiàn)在我們修改表單信息并提交,如果能夠增加用戶成功,則說明網(wǎng)站存在CSRF漏洞。

修改表單完成之后,我們點擊右下角的Generate HTML按鈕,會保存一個頁面,并同時進(jìn)行提交,默認(rèn)勾選了Display in Browser,表示我們在提交并保存頁面的時,同時打開此頁面。如下圖-10、11所示:

圖-10

圖-11

提交成功之后,我們查看網(wǎng)站,可以看到增加了fly用戶,說明此網(wǎng)站存在CSRF漏洞,如下圖-12所示。

圖-12

注意:使用CSRFTester工具做測試時,最好只打開要測試的網(wǎng)站頁面,也就是在工具中截獲的頁面盡可能少,否則可能測試結(jié)果不準(zhǔn)確。

《BT4 Linux 黑客手冊》國內(nèi)第一本關(guān)于BackTrack3/4/4R1/4R2/5下內(nèi)置工具講解書籍,適用于各類BT4狂熱分子、BT4英文能力不強(qiáng)者、BT4初哥、BT4宅男宅女、BT4深度學(xué)習(xí)人士、BT5過渡期待者、BT3迷戀者、BT4無線hacking愛好者、鄙視Windows者及......(此處略去1千字),聚眾奮力編寫6個月,終于粉墨登場!

全書共15章,全書稿頁數(shù)近600頁,涉及工具近100個,攻防操作案例60個,從有線到無線、從掃描到入侵、從嗅探到PJ、從逆向到取證,全面協(xié)助小黑們從零開始一步步學(xué)習(xí)BT4下各類工具的使用及綜合運用。

【編輯推薦】

  1. 淺析IPv6存在的攻擊漏洞
  2. 微軟加快漏洞報告進(jìn)程--協(xié)助處理第三方漏洞
  3. WEBSHELL提升權(quán)限又一招(Mysql漏洞)
  4. 測試表明多款常用防火墻存在黑客漏洞

分享題目:CSRFTester:一款CSRF漏洞的測試工具
分享網(wǎng)址:http://m.5511xx.com/article/djdoeii.html