CSRFTester：一款CSRF漏洞的安全測試工具

CSRFTester：一款CSRF漏洞的安全測試工具

　　CSRFTester是一款CSRF漏洞的測試工具，講工具之前，先大概介紹一下CSRF漏洞，CSRF英文全稱(chēng)是Cross Site Request Forgery，常被叫做跨站點(diǎn)偽造請求，是偽造客戶(hù)端請求的一種攻擊形式，CSRF主要指通過(guò)偽裝成來(lái)自受信任用戶(hù)的請求來(lái)達到攻擊目標網(wǎng)站的目的，CSRF在2000年就在國外被提出了，但是在國內被廣泛使用應該算是從08年才開(kāi)始，所以對很多人來(lái)說(shuō)，可能還是比較陌生的。一個(gè)簡(jiǎn)單的CSRF漏洞利用示例就是網(wǎng)站管理員在點(diǎn)擊了某個(gè)外部連接的時(shí)候，在不知情的情況下在自己的網(wǎng)站中增加了一個(gè)不法者設置的賬戶(hù)。

　　CSRFTester工具的測試原理大概是這樣的，使用代理抓取我們在瀏覽器中訪(fǎng)問(wèn)過(guò)的所有的連接以及所有的表單等信息，通過(guò)在CSRFTester中修改相應的表單等信息，重新提交，相當于一次偽造客戶(hù)端請求，如果修測試的請求成功被網(wǎng)站服務(wù)器接受，則說(shuō)明存在CSRF漏洞，當然此款工具也可以被用來(lái)進(jìn)行CSRF攻擊。

　　CSRFTester在 BackTrack4 R2下已經(jīng)內置，具體調用方法如下圖-1所示：通過(guò)依次選擇菜單中"Backtrack"-" Web Application Analysis"-"Web(fronted)"-"CSRFTester"即可打開(kāi)一個(gè)列舉出CSRFTester使用參數的Shell。當然，也可以在BT4下打開(kāi)任意一個(gè)Shell，進(jìn)入到/pentest/cisco/oscanner目錄下，輸入./ oscanner.sh命令即可使用該工具。

　　圖-1

　　CSRFTester使用方法

　　我們通過(guò)一個(gè)示例來(lái)了解CSRFTester工具吧!具體步驟如下：

　　步驟1：設置瀏覽器代理

　　CSRFTester使用前需要設置代理，設置成功之后，我們在瀏覽器中的所有訪(fǎng)問(wèn)頁(yè)面都將被CSRFTester抓取。

　　配置火狐瀏覽器的代理，在edit中選擇perferences，進(jìn)行代理設置，如下圖-2所示：

　　圖-2

　　選擇選擇advanced配置中的network選項卡，點(diǎn)擊setting，如下圖-3所示：

　　圖-3

文章來(lái)源于領(lǐng)測軟件測試網(wǎng) http://kjueaiud.com/