freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC
2021-11-23 00:04:53

关于lazyCSRF

lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。在此之前,我比较喜欢使用的是“Generate CSRF PoC”,但这个插件无法自动判断请求的内容,而且它甚至还会使用“form”来生成无法用“form”表示的 PoC,例如使用JSON作为参数或PUT请求的情况。除此之外,在生成的CSRF PoC中,可以在Burp套件本身中显示的多字节字符经常会显示成乱码。因此,lazyCSRF便应运而生了。

功能介绍

  • 使用XMLHttpRequest自动切换至PoC:参数为JSON情况,或请求为PUT/PATCH/DELETE的情况;
  • 支持显示多字节字符;
  • 使用Burp Suite社区版生成CSRF PoC(当然也适用于Burp Suite专业版);

多字节数据显示差异

下图中显示的是Burp Suite的CSRF PoC生成器与LazyCSRF之间在显示多字节字符时的差异。

LazyCSRF能够在不会混淆多字节字符的情况下生成CSRF PoC,而LazyCSRF也是Burp Suite中唯一一个不会混淆多字节字符或不会将多字节字符显示为乱码的插件工具。

工具安装

广大研究人员可以直接访问该项目的【Releases页面】下载编译好的JAR包。然后在Burp Suite中,点击“Extensions”标签页,然后选择“添加新的插件”。选择插件类型为“Java”,然后选择我们已下载的JAR。

工具使用

我们可以通过在菜单栏中选择“Extensions -> LazyCSRF -> Generate CSRF PoC By LazyCSRF”来生成一个CSRF PoC。

代码构建

首先,我们需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/tkmru/lazyCSRF.git

接下来,我们就可以选择下列方式来进行代码构建了。

Intellij构建

如果你使用的是IntelliJ IDEA,你就可以点击“Build -> Build Artifacts -> LazyCSRF:jar -> Build”来进行代码构建了。

命令行构建

我们也可以选择在命令行中使用maven进行代码构建:

$ mvn install

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

lazyCSRF:GitHub传送门

# csrf # Burpsuite插件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录