CSRFTester检测是否存在csrf漏洞

条件

CSRFTester1.0工具
自己搭建的某cms

启动CSRFTester并在浏览器中设置好代理

查看弹出的界面

浏览器代理设置为127.0.0.1:8008

开始测试

浏览器开好代理，在要测试的页面填好信息，在确认前打开CSRFTester的start recording，抓取后，马上关闭，减少干扰项，如下图，先点2，再点1，提示成功添加后在点2。

分析抓到的包

下面两个没有携带数据，没有什么用，直接右键删除，我们主要看第一个包。

框里面是我们刚才提交的数据，现在改成其他的数据。

生成html，点击forms类型，不要勾选dispiay in browser，然后点击generate html后选择存放位置，我放桌面上。

测试是否有csrf

登录后台后，使用同一个浏览器打开生成的html。

提示添加成功，管理员中也出现了这个用户，说明这个漏洞是存在的。

总结

1.学习CSRFTester的简单使用
2.形成的原因是没有采用类似token的方法来进行校验
3.尽量少抓数据包，减少干扰项