如何使用lazyCSRF在BurpSuite上生成强大的CSRFPoC

关于lazyCSRF

lazyCSRF是一款功能强大的Burp Suite插件，该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理，是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后，Burp Suite就可以直接生成CSRF PoC了。

成都创新互联是一家专业提供阜阳企业网站建设,专注与成都网站设计、网站建设、html5、小程序制作等业务。10年已为阜阳众多企业、政府机构等服务。创新互联专业网站制作公司优惠进行中。

在此之前，我比较喜欢使用的是“Generate CSRF PoC”，但这个插件无法自动判断请求的内容，而且它甚至还会使用“form”来生成无法用“form”表示的 PoC，例如使用JSON作为参数或PUT请求的情况。除此之外，在生成的CSRF PoC中，可以在Burp套件本身中显示的多字节字符经常会显示成乱码。因此，lazyCSRF便应运而生了。

功能介绍

• 使用XMLHttpRequest自动切换至PoC：参数为JSON情况，或请求为PUT/PATCH/DELETE的情况;
• 支持显示多字节字符;
• 使用Burp Suite社区版生成CSRF PoC(当然也适用于Burp Suite专业版);

多字节数据显示差异

下图中显示的是Burp Suite的CSRF PoC生成器与LazyCSRF之间在显示多字节字符时的差异。

LazyCSRF能够在不会混淆多字节字符的情况下生成CSRF PoC，而LazyCSRF也是Burp Suite中唯一一个不会混淆多字节字符或不会将多字节字符显示为乱码的插件工具。

工具安装

广大研究人员可以直接访问该项目的【Releases页面】下载编译好的JAR包。然后在Burp Suite中，点击“Extensions”标签页，然后选择“添加新的插件”。选择插件类型为“Java”，然后选择我们已下载的JAR。

工具使用

我们可以通过在菜单栏中选择“Extensions -> LazyCSRF -> Generate CSRF PoC By LazyCSRF”来生成一个CSRF PoC。

代码构建

首先，我们需要使用下列命令将该项目源码克隆至本地：

 
 
 

  
  
  
git clone https://github.com/tkmru/lazyCSRF.git 
 
 
 

接下来，我们就可以选择下列方式来进行代码构建了。

(1) Intellij构建

如果你使用的是IntelliJ IDEA，你就可以点击“Build -> Build Artifacts -> LazyCSRF:jar -> Build”来进行代码构建了。

(2) 命令行构建

我们也可以选择在命令行中使用maven进行代码构建：

 
 
 

  
  
  
$ mvn install 
 
 
 

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

lazyCSRF：【GitHub传送门】

本文名称：如何使用lazyCSRF在BurpSuite上生成强大的CSRFPoC
文章源于：http://www.stwzsj.com/qtweb/news48/2348.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联