我知道我可以使用 Generate CSRF PoC 功能来测试我是否有 CSRF 漏洞,但是一旦我缓解了这个漏洞,Burp 将如何在下一次扫描时识别这个修复?我需要能够通过运行 Burp 扫描向客户证明该漏洞不再存在。
如何使用 Burp 验证我的 CSRF 修复是否成功?
信息安全
打嗝套件
2021-09-02 00:10:46
1个回答
对于任何 CSRF 问题,预防的一般演示表明使用相同的预防性令牌或没有预防性令牌重复相同的请求不会导致服务器上的任何数据发生变化。
因此,执行合法请求,将其发送到转发器,然后尝试再次执行。如果它起作用,则 CSRF 保护不起作用。
然后移除 CSRF 令牌并再次发送。如果它起作用,则保护不起作用。