Burp Suite 常用功能
Burp 包含许多支持测试过程的套件范围的功能。
• Message editor
• Inspector
• Burp's browser
• Sending requests between tools
• Search
• Learn
• Target analyzer
• Content discovery
• Task scheduler
• CSRF PoC generator
• Compare site maps
• Burp Infiltrator
• Burp Clickbandit
• Burp Collaborator client
• URL matching rules
• Response extraction rules
• Manual testing simulator
• Options
2022-12-28 18:00:41
268KB
1
CSRFScanner v1.0
Python CSRF漏洞扫描器
描述
CSRFScanner是一种用于扫描网站以查找CSRF漏洞的工具。 这是一个基本工具,不是很人性化,我最初是出于学术目的而开发的。 可以在PDF CSRFScanner_Explications.pdf(以法语编写)中找到更多说明。
要求
Python> = 2.6
用法
python main.py [-R] URL Cookie
-R是一个可选参数,用于跟随内部链接以扫描整个网站。
URL是要扫描的网页
Cookie是要发送以进行身份验证的Cookie。 可以使用Wireshark之类的工具,Burp或Webscarab之类的Web代理,TamperData之类的Web浏览器扩展来查看...
2022-08-24 11:58:18
1.13MB
1
CSRF防范对策
1、什么是CSRF
我们再来重温下CSRF的定义:CSRF英文全称是:Cross Site Request Forgery,中文是:跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
2、CSRF的主要防范对策
CSRF的主要防范对策有以下几点:
1、验证 HTTP Referer 字段。
2、在请求地址中添加token并验证。
3、在HTTP 头中自定义属性并验证。
4、AngularJS提供的CSRF方案。
CSRF防范对策
2、CSRF的主要防范对策
1、验证 HTTP Referer 字段
HTTP头中的Referer字段记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,而如果黑客要对其实施 CSRF攻击,他一般只能在他自己的网站构造请求。因此,可以通过验证Referer值来防御CSRF 攻击。
CSRF防范对策
2、CSRF的主要防范对策
2、在请求地址中添加token并验证
CSRF 攻
2022-06-19 12:01:32
615KB
CSRF防范辅助性对策
CSRF防范辅助性对策
1、CSRF主要防范对策
CSRF的主要防范对策有以下几点:
1、验证 HTTP Referer 字段。
2、在请求地址中添加token并验证。
3、在HTTP 头中自定义属性并验证。
4、AngularJS提供的CSRF方案.
2、CSRF的常见防范辅助性对策
1、增加验证码。
2、cookies设置sameSite。
3、客户端安装浏览器插件。
4、更换登录态方案。
CSRF防范辅助性对策
2、CSRF的主要防范对策
1、增加验证码
CSRF的一个特点是:伪造请求不经过网站A。那么我们可以通过增加网站A的验证手段,例如增加图形验证码或短信验证码等等,只有通过验证的请求才算合法。但是这种方案拥有两个局限性,一个是增加开发成本,另外一个是降低用户体验。
CSRF防范辅助性对策
2、CSRF的主要防范对策
2、cookies设置sameSite
对于CSRF的第二个特点:伪造请求的域名不是网站A。那么通过限制cookies不被其他域名网站使用,来达到防御的目的,具体的做法是:cookies设置sameSite属性的值为strict,这样只有
2022-06-19 12:00:55
754KB