burp suite中集成了验证csrf漏洞的poc,直接使用就可以,不用自己构建表单了,非常方便。用pikachu的csrf来进行验证吧。
CSRF(get)
提交修改个人信息后,截取数据包,选择如下
如下,我们将原本的手机111...修改为2222,复制burp构造的表单链接,在同一个浏览器打开(没有退出登录的前提下)
点击
数据被修改成功,存在csrf
CSRF(POST)
也是一样的方式,就不再演示,如果数据被修改成功,则存在漏洞
CSRF(Token)
由于携带了token
数据未修改成功,不存在csrf漏洞。
利用这个工具我们可以很好的测试是否存在csrf漏洞