专业的

生成CSRF POC

最近更新时间：2022年4月6日
阅读时间：3分钟

此功能可用于生成概念验证（POC）跨站点伪造（（CSRF）攻击给定的请求。

要访问此功能，请在BURP中的任何地方选择URL或HTTP请求，然后选择生成CSRF POC内参与工具在上下文菜单中。

执行此功能时，BURP显示您在顶部面板中选择的完整请求，以及下面面板中生成的CSRF HTML。HTML使用表单和/或JavaScript在浏览器中生成所需的请求。

您可以手动编辑请求，然后单击再生按钮根据更新的请求重新生成CSRF HTML。

您可以使用浏览器中测试生成的POC的有效性在浏览器中进行测试按钮。当您选择此选项时，BURP为您提供了一个唯一的URL，您可以将其粘贴到浏览器中（配置为使用BURP的当前实例作为代理）。BURP与当前显示的HTML一起提供了结果浏览器请求，然后您可以通过监视通过代理进行的结果请求来确定POC是否有效。

关于CSRF技术，应注意一些要点：

跨域XMLHTTPREQUEST（XHR）技术仅适用于支持的现代HTML5浏览器交叉原始资源共享（（科尔斯）。该技术已在当前版本的Firefox，Internet Explorer和Chrome上进行了测试。浏览器必须启用JavaScript。请注意，使用此技术，浏览器不会以正常方式处理应用程序的响应，因此不适合提出交叉域的请求以交付反映的跨站点脚本（（XSS）攻击。跨域XHR受到各种限制，可能会阻止其使用某些请求功能。如果有责任发生，BURP将在CSRF POC发生器中显示警告。
一些请求具有物体（例如XML或JSON），只能使用带有纯文本编码的表单或跨域XHR生成。在前一种情况下，结果请求将包括标题“内容类型：文本/平原”。在后一种情况下，请求可以包括任何内容类型的标题，但只能作为“简单”的跨域请求（因此，如果内容 -类型标头具有可能为正常HTML表单指定的标准值之一。在某些情况下，尽管消息主体与攻击请求完全匹配，但由于意外的内容类型标头，该应用程序可能会拒绝该请求。这种类似于CSRF的条件实际上可能不会被利用。如果有责任发生，BURP将在CSRF POC发生器中显示警告。
如果你手动选择BURP无法用于产生所需请求的CSRF技术将在POC上产生最佳努力，并会显示警告。
如果CSRF POC发电机使用纯文本编码，则请求主体必须包含一个平等字符，以使Burp生成HTML形式，从而导致该精确的主体。如果原始请求不包含平等字符，则您可以将其引入请求中的合适位置，而不会影响服务器的处理。

CSRF POC选项

可用以下选项：

CSRF技术- 此选项允许您指定在生成CSRF请求的HTML中使用的CSRF技术的类型。这汽车选项通常是首选的，并导致BOURP选择能够生成所需请求的最合适的技术。
包括自动提交脚本- 使用此选项使BURP在HTML中包括一个脚本，该脚本会导致启用JavaScript的浏览器在加载页面时自动发布CSRF请求。