实验室:CSRF在哪里令牌验证取决于令牌的存在
从业者
该实验室的电子邮件更改功能容易受到CSRF的影响。
要解决实验CSRF攻击更改观看者的电子邮件地址。
您可以使用以下凭据登录到自己的帐户:维纳:彼得
解决方案
- 打开Burp的浏览器并登录您的帐户。提交“更新电子邮件”表格,并在代理历史记录中找到所得的请求。
- 将请求发送给Burp Repeater,并观察到,如果您更改的价值
CSRF
参数然后拒绝该请求。
- 删除
CSRF
参数完全并观察到该请求现在已接受。
如果您正在使用Burp Suite专业人士,右键单击请求,从上下文菜单中选择“参与工具 /生成CSRF POC”。启用该选项包括自动提交脚本,然后单击“再生”。
或者,如果您正在使用Burp Suite Community Edition,使用以下HTML模板并填写请求的方法,URL和身体参数。您可以通过右键单击和选择“复制URL”来获取请求URL。