我想從OWASP運行CSRFTester工具來檢查我的web應用程序上的CSRF攻擊。我能夠從工具生成一個HTML報告,但我不知道如何使用它..我試着用谷歌搜索,但無濟於事。 這裏是我下面至今步驟: -想從OWASP運行CSRFTester,但沒有得到結果
> 1. Login to my Web Application.
> 2.Access to the business logic function page.
> 3.Start Recording(CSRFTester)
> 4.Enter the data in form and click on submit.
> 5.CSRFTester tool will store all the information related to this request.
> 6.I modified the value of two parameter from 10,20 to 150,300.
> 7. Generated the Form HTML report and saved it on my desktop.
> 8. Opened a new browser.Logged into my web application with different user.
> 9.Navigate to the business logic function page.
從這裏開始,我不知道究竟我必須做的測試CSRF怎麼辦呢.. 請指導我..可以通過網絡使用這個工具的資料已經反覆陳述了我無法理解的同樣的事情。
該網站引述如下: -
一旦生成報告打開一個新的瀏覽器實例,如 認證與訪問您 測試網站的相同業務功能的其他用戶,並有再啓動新創建的HTML報告文件。 如果在用於認證受害者的相同瀏覽器窗口 中查看該文件之後的操作效果,則該特定功能易受CSRF(跨站點請求僞造)的影響。
請指導me..Also如果有人知道任何免費的工具來測試CSRF漏洞,那麼請讓我的Acunetix使用,但無濟於事..
我做了你所說的。問題是我單擊時爲CSRF攻擊生成的鏈接顯示了我的Web應用程序的會話過期頁面。當受害者登錄並單擊該鏈接時,我得到Session Expired Page並且該值也未在數據庫中提交(即不進行呼叫)。 – AngelsandDemons