实验室：CSRF在哪里令牌验证取决于请求方法

从业者

该实验室的电子邮件更改功能容易受到CSRF的影响。它试图阻止CSRF攻击，但仅适用于某些类型的请求。

要解决实验CSRF攻击更改观看者的电子邮件地址。

您可以使用以下凭据登录到自己的帐户：维纳：彼得

打开Burp的浏览器并登录您的帐户。提交“更新电子邮件”表格，并在代理历史记录中找到所得的请求。
将请求发送给Burp Repeater，并观察到，如果您更改的价值CSRF参数然后拒绝该请求。
在上下文菜单上使用“更改请求方法”将其转换为Get请求，并观察到CSRF令牌不再验证。
如果您正在使用Burp Suite专业人士，右键单击请求，从上下文菜单中选择“参与工具 /生成CSRF POC”。启用该选项包括自动提交脚本，然后单击“再生”。
或者，如果您正在使用Burp Suite Community Edition，使用以下HTML模板并填写请求的方法，URL和身体参数。您可以通过右键单击和选择“复制URL”来获取请求URL。