關于lazyCSRF

lazyCSRF是一款功能強大的Burp Suite插件，該工具可以幫助廣大研究人員生成功能強大的CSRF（跨站請求偽造） PoC。Burp Suite是一個攔截HTTP代理，是執行Web應用程序安全測試的強大工具。引入lazyCSRF之后，Burp Suite就可以直接生成CSRF PoC了。在此之前，我比較喜歡使用的是“Generate CSRF PoC”，但這個插件無法自動判斷請求的內容，而且它甚至還會使用“form”來生成無法用“form”表示的 PoC，例如使用JSON作為參數或PUT請求的情況。除此之外，在生成的CSRF PoC中，可以在Burp套件本身中顯示的多字節字符經常會顯示成亂碼。因此，lazyCSRF便應運而生了。

功能介紹

• 使用XMLHttpRequest自動切換至PoC：參數為JSON情況，或請求為PUT/PATCH/DELETE的情況；
• 支持顯示多字節字符；
• 使用Burp Suite社區版生成CSRF PoC（當然也適用于Burp Suite專業版）；

【點擊獲取安全工具與學習資料】

多字節數據顯示差異

下圖中顯示的是Burp Suite的CSRF PoC生成器與LazyCSRF之間在顯示多字節字符時的差異。

LazyCSRF能夠在不會混淆多字節字符的情況下生成CSRF PoC，而LazyCSRF也是Burp Suite中唯一一個不會混淆多字節字符或不會將多字節字符顯示為亂碼的插件工具。

工具安裝

廣大研究人員可以直接訪問該項目的【Releases頁面】下載編譯好的JAR包。然后在Burp Suite中，點擊“Extensions”標簽頁，然后選擇“添加新的插件”。選擇插件類型為“Java”，然后選擇我們已下載的JAR。

工具使用

我們可以通過在菜單欄中選擇“Extensions -> LazyCSRF -> Generate CSRF PoC By LazyCSRF”來生成一個CSRF PoC。

代碼構建

首先，我們需要使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/tkmru/lazyCSRF.git

接下來，我們就可以選擇下列方式來進行代碼構建了。

Intellij構建

如果你使用的是IntelliJ IDEA，你就可以點擊“Build -> Build Artifacts -> LazyCSRF:jar -> Build”來進行代碼構建了。

命令行構建

我們也可以選擇在命令行中使用maven進行代碼構建：

$ mvn install

許可證協議

本項目的開發與發布遵循MIT開源許可證協議。

總結

以上是生活随笔為你收集整理的如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。