CSRF漏洞利用/测试工具 – CSRF Request Builder

  • A+
所属分类:神兵利刃

CSRF Request Builder是一款CSRF漏洞利用和测试工具。CSRF Request Builder可以生成用于实际系统在现实场景中的POC,但是这些poc只是以测试为目的,离实际的GJ还是有差距的…
作者写这个工具的原因是:当 前用HTML/JS实现JOSN的CSRF是比较容易的,但是他在一次渗透测试过程中,发现被测试的应用会验证,请求中是否包含content-type :  application/json。因此为了完成这个测试他用Flash实现了这个工具。flash不但可以设置请求头还可以随意设置请求内 容,flash也有其自身的限制如不允许设置multipart/form-data,以防止用CSRF上传文件具体可以参见(http: //www.exploit-db.com/exploits/7383/)还有一个就是flash不能使用PUT或DELETE方法。
工具下载:https://github.com/TheRook/CSRF-Request-Builder

 

via/pulog

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: