跨站请求伪造(Cross
Site Request Forgery)。可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。
抓包
在history中找到相应的请求
image.png
伪造请求
右击选中的链接,选择Engagement tools--->Generate CSRF Pos选项,如下图所示:
image.png
修改提交的参数
在弹出的对话框中,修改需要提交的参数,然后生成攻击脚本,再复制url在浏览器中测试,具体步骤如下图所示:
image.png
image.png
在浏览器中测试
将上一步复制的URL粘贴到浏览器中,点击request按钮,如下图所示:
image.png
检查请求是否成功
如果请求成功,则存在CSRF漏洞。
