如何使用lazyCSRF在Burp Suite上生成强悍的CSRF PoC

发布时间：2022-02-10 10:40:56 所属栏目：安全来源：互联网

导读：lazyCSRF是一款功能强大的Burp Suite插件，该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理，是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后，Burp Suite就可以直接生成CSRF PoC了。在此之前，我

lazyCSRF是一款功能强大的Burp Suite插件，该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理，是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后，Burp Suite就可以直接生成CSRF PoC了。

在此之前，我比较喜欢使用的是“Generate CSRF PoC”，但这个插件无法自动判断请求的内容，而且它甚至还会使用“form”来生成无法用“form”表示的 PoC，例如使用JSON作为参数或PUT请求的情况。除此之外，在生成的CSRF PoC中，可以在Burp套件本身中显示的多字节字符经常会显示成乱码。因此，lazyCSRF便应运而生了。功能介绍；使用XMLHttpRequest自动切换至PoC：参数为JSON情况，或请求为PUT/PATCH/DELETE的情况;支持显示多字节字符;使用Burp Suite社区版生成CSRF PoC(当然也适用于Burp Suite专业版);多字节数据显示差异；下图中显示的是Burp Suite的CSRF PoC生成器与LazyCSRF之间在显示多字节字符时的差异。

LazyCSRF能够在不会混淆多字节字符的情况下生成CSRF PoC，而LazyCSRF也是Burp Suite中唯一一个不会混淆多字节字符或不会将多字节字符显示为乱码的插件工具。广大研究人员可以直接访问该项目的【Releases页面】下载编译好的JAR包。然后在Burp Suite中，点击“Extensions”标签页，然后选择“添加新的插件”。选择插件类型为“Java”，然后选择我们已下载的JAR。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

之于勒索软件持乐观态	通往零信任的坦途 SAS
网络安全技术趋向	防范数据偷取从了解其