如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC


关于lazyCSRF

lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。

在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。除此之外,在生成的CSRF PoC中,可以在Burp套件本身中显示的多字节字符经常会显示成乱码。因此,lazyCSRF便应运而生了。

功能介绍

  • 使用XMLHttpRequest自动切换至PoC:参数为JSON情况,或请求为PUT/PATCH/DELETE的情况;
  • 支持显示多字节字符;
  • 使用Burp Suite社区版生成CSRF PoC(当然也适用于Burp Suite专业版);

多字节数据显示差异

下图中显示的是Burp Suite的CSRF PoC生成器与LazyCSRF之间在显示多字节字符时的差异。

LazyCSRF能够在不会混淆多字节字符的情况下生成CSRF PoC,而LazyCSRF也是Burp Suite中唯一一个不会混淆多字节字符或不会将多字节字符显示为乱码的插件工具。

工具安装

广大研究人员可以直接访问该项目的【Releases页面】下载编译好的JAR包。然后在Burp Suite中,点击“Extensions”标签页,然后选择“添加新的插件”。选择插件类型为“Java”,然后选择我们已下载的JAR。

工具使用

我们可以通过在菜单栏中选择“Extensions -> LazyCSRF -> Generate CSRF PoC By LazyCSRF”来生成一个CSRF PoC。

代码构建

首先,我们需要使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/tkmru/lazyCSRF.git

接下来,我们就可以选择下列方式来进行代码构建了。

(1) Intellij构建

如果你使用的是IntelliJ IDEA,你就可以点击“Build -> Build Artifacts -> LazyCSRF:jar -> Build”来进行代码构建了。

(2) 命令行构建

我们也可以选择在命令行中使用maven进行代码构建:

  1. $ mvn install

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

lazyCSRF:【GitHub传送门】

服务器安全狗主动防御之文件及目录保护功能教程

一.文件及目录保护作用服务器安全狗文件及目录保护功能,其作用主要是为了保护用户服务器重要的文件与目录不被篡改与删除。建议用户安装完服务器安全狗后,要注意开启文件及目录保护功能以便保障文件与目录的安全。二.文件及目录保护设置文件及目录保护规则类型主要分为系统保护...
服务器安全狗服务器安全主动防御目录保护

使用Landslide基于MarkDown制作在线Slide

Landsilde工具使用Landslide是基于Google的html5slides的一个Slide生成工具,可将markdown、ReST 或者 textile文件转化成HTML5的slide。该转化支持内联模式,即生成一个具有完整功能的HTML文件,将依...
服务器运维LandslideMarkDown

高防服务器防御的原理详解

随着网络攻击越来越严重,现在高防服务器也逐渐受到很多企业用户的重视。一般高防服务器除了具备普通服务器的运行功能,还具有防攻击、抗病毒等方面的能力,对于网络攻击具有一定的防护作用。但是虽然很多用户都会选择使用高防服务器,但是很多用户对于高防服务器防御的原理却没有...
服务器安全高防服务器服务器防御

云数据库安全防护方案步骤

由于云环境、企业云应用系统、核心数据的复杂性,选择适合的云数据保护方案变得尤为重要。因此,为了保护云端的数据,需要有计划、有步骤的实施云数据库安全防护方案:步骤1:分析并确定需要保护的关键数据在对云数据进行保护前,首先需要准确的分析哪些数据需要保护,和为什么要...
服务器安全云数据库安全防护