LazyCSRF es un generador CSRF PoC más útil que se ejecuta en Burp Suite.
motivación
Burp Suite es un proxy HTTP de interceptación y la herramienta de facto para realizar pruebas de seguridad para aplicaciones web. La característica de Burp Suite que más me gusta es Generate CSRF PoC
. Sin embargo, la función para determinar automáticamente el contenido de la solicitud es defectuosa e intenta usar PoC para usar. para generar form
también para PoC, que no puede ser representado por form
, por ejemplo, casos en los que JSON se utiliza para parámetros o solicitudes PUT. Además, los caracteres multibyte que se pueden mostrar en Burp Suite a menudo se confunden en el CSRF-PoC generado. Estas fueron las motivaciones detrás de la creación de LazyCSRF.
caracteristicas
- Cambiar automáticamente a PoC con XMLHttpRequest
- Si el parámetro es JSON
- Si la solicitud es PUT / PATCH / DELETE
- Admite la visualización de caracteres multibyte (como el japonés)
- Generación de CSRF PoC con Burp Suite Community Edition (por supuesto, también funciona en Professional Edition)
Diferencia en la visualización de caracteres multibyte.
La siguiente figura muestra la diferencia en la visualización de caracteres multibyte entre el generador CSRF PoC de Burp y LazyCSRF. LazyCSRF puede generar PoC para CSRF sin distorsionar caracteres multibyte. Este es solo el caso si los personajes de Burp Suite no están mutilados.
instalación
Descargue el JAR de las versiones de GitHub. En Burp Suite, vaya a la pestaña Extensores en la pestaña Extensores y agregue una nueva extensión. Seleccione el tipo de extensión Java
y especifique la ubicación del archivo JAR.
propósito de uso
Puede generar un CSRF PoC mediante. escoger Extensions
->LazyCSRF
->Generate CSRF PoC By LazyCSRF
en el menú que aparece al hacer clic con el botón derecho en Burp Suite.
Cómo construir
Intellija
Si está utilizando IntelliJ IDEA, así es como puede crearlo Build
-> Build Artifacts
-> LazyCSRF:jar
-> Build
.
Línea de comando
Puedes construirlo con Maven.