想从OWASP运行CSRFTester，但没有得到结果

Question

我想从OWASP运行CSRFTester工具来检查我的web应用程序上的CSRF攻击。我能够从工具生成一个HTML报告，但我不知道如何使用它..我试着用谷歌搜索，但无济于事。 这里是我下面至今步骤： -

> 1. Login to my Web Application. 
> 2.Access to the business logic function page. 
> 3.Start Recording(CSRFTester) 
> 4.Enter the data in form and click on submit. 
> 5.CSRFTester tool will store all the information related to this request. 
> 6.I modified the value of two parameter from 10,20 to 150,300. 
> 7. Generated the Form HTML report and saved it on my desktop. 
> 8. Opened a new browser.Logged into my web application with different user. 
> 9.Navigate to the business logic function page. 

从这里开始，我不知道究竟我必须做的测试CSRF怎么办呢.. 请指导我..可以通过网络使用这个工具的资料已经反复陈述了我无法理解的同样的事情。

该网站引述如下： -

一旦生成报告打开一个新的浏览器实例，如 认证与访问您 测试网站的相同业务功能的其他用户，并有再启动新创建的HTML报告文件。 如果在用于认证受害者的相同浏览器窗口 中查看该文件之后的操作效果，则该特定功能易受CSRF（跨站点请求伪造）的影响。

请指导me..Also如果有人知道任何免费的工具来测试CSRF漏洞，那么请让我的Acunetix使用，但无济于事..

Answer 1

首先，请know..I尝试确定你了解CSRF的工作原理，但是如果你正在使用这个工具，并且你对这个问题感到担忧，那么你已经知道了。

报告应与生成后执行同样的请求一些JavaScript代码的HTML页面，当应用程序被运行，以便：

1. 运行应用程序和Web应用程序中执行一些操作
2. 在同一个浏览器中的文件CSRFTester刚刚生成
3. 看看你是否在其他配置文件中所做的更改的实际轮廓完成过一个新的用户
4. 打开新的会话。

如果您没有看到任何更改，请确保您在Web应用中执行的操作是用户之间的常见操作，例如更改用户详细信息。