我想从OWASP运行CSRFTester工具来检查我的web应用程序上的CSRF攻击。我能够从工具生成一个HTML报告,但我不知道如何使用它..我试着用谷歌搜索,但无济于事。 这里是我下面至今步骤: -想从OWASP运行CSRFTester,但没有得到结果
> 1. Login to my Web Application.
> 2.Access to the business logic function page.
> 3.Start Recording(CSRFTester)
> 4.Enter the data in form and click on submit.
> 5.CSRFTester tool will store all the information related to this request.
> 6.I modified the value of two parameter from 10,20 to 150,300.
> 7. Generated the Form HTML report and saved it on my desktop.
> 8. Opened a new browser.Logged into my web application with different user.
> 9.Navigate to the business logic function page.
从这里开始,我不知道究竟我必须做的测试CSRF怎么办呢.. 请指导我..可以通过网络使用这个工具的资料已经反复陈述了我无法理解的同样的事情。
该网站引述如下: -
一旦生成报告打开一个新的浏览器实例,如 认证与访问您 测试网站的相同业务功能的其他用户,并有再启动新创建的HTML报告文件。 如果在用于认证受害者的相同浏览器窗口 中查看该文件之后的操作效果,则该特定功能易受CSRF(跨站点请求伪造)的影响。
请指导me..Also如果有人知道任何免费的工具来测试CSRF漏洞,那么请让我的Acunetix使用,但无济于事..
我做了你所说的。问题是我单击时为CSRF攻击生成的链接显示了我的Web应用程序的会话过期页面。当受害者登录并单击该链接时,我得到Session Expired Page并且该值也未在数据库中提交(即不进行呼叫)。 – AngelsandDemons