想從OWASP運行CSRFTester，但沒有得到結果

Question

我想從OWASP運行CSRFTester工具來檢查我的web應用程序上的CSRF攻擊。我能夠從工具生成一個HTML報告，但我不知道如何使用它..我試着用谷歌搜索，但無濟於事。 這裏是我下面至今步驟： -

> 1. Login to my Web Application. 
> 2.Access to the business logic function page. 
> 3.Start Recording(CSRFTester) 
> 4.Enter the data in form and click on submit. 
> 5.CSRFTester tool will store all the information related to this request. 
> 6.I modified the value of two parameter from 10,20 to 150,300. 
> 7. Generated the Form HTML report and saved it on my desktop. 
> 8. Opened a new browser.Logged into my web application with different user. 
> 9.Navigate to the business logic function page. 

從這裏開始，我不知道究竟我必須做的測試CSRF怎麼辦呢.. 請指導我..可以通過網絡使用這個工具的資料已經反覆陳述了我無法理解的同樣的事情。

該網站引述如下： -

一旦生成報告打開一個新的瀏覽器實例，如 認證與訪問您 測試網站的相同業務功能的其他用戶，並有再啓動新創建的HTML報告文件。 如果在用於認證受害者的相同瀏覽器窗口 中查看該文件之後的操作效果，則該特定功能易受CSRF（跨站點請求僞造）的影響。

請指導me..Also如果有人知道任何免費的工具來測試CSRF漏洞，那麼請讓我的Acunetix使用，但無濟於事..

Answer 1

首先，請know..I嘗試確定你瞭解CSRF的工作原理，但是如果你正在使用這個工具，並且你對這個問題感到擔憂，那麼你已經知道了。

報告應與生成後執行同樣的請求一些JavaScript代碼的HTML頁面，當應用程序被運行，以便：

1. 運行應用程序和Web應用程序中執行一些操作
2. 在同一個瀏覽器中的文件CSRFTester剛剛生成
3. 看看你是否在其他配置文件中所做的更改的實際輪廓完成過一個新的用戶
4. 打開新的會話。

如果您沒有看到任何更改，請確保您在Web應用中執行的操作是用戶之間的常見操作，例如更改用戶詳細信息。