【BurpSuite工具系】使用BurpSuite一次完整的测试CSRF漏洞

双击打开我们的burpsuite工具，将这里的监听端口改为8008

下载火狐浏览器设置网络代理

添加手动设置代理

打开百度，浏览器提示这个

 选择BurpSuite工具导出ca证书

 

这个时候，我们 打开火狐浏览器 导入我们的证书

 

 

 刷新请求百度

但是当我们访问localhost本地项目接口的时候，burpsuite工具没有检测到，怎么处理呢

火狐浏览器地址栏添加 about:config

在搜索选项 network.proxy.allow_hijacking_localhost jiang 将false修改为true，

双击该选项就会为true

 这样本地请求就可以监听到了

 找到我们需要抓包的接口，选择CSRF poc生成工具

 

 在生成的poc窗口修改参数，点击浏览器测试按钮

 

 将对应的url地址复制到浏览器地址栏访问

 点击submitRequest按钮，结果竟然执行成功  表示存在csrf漏洞

这里在网上也找到一篇关于 burpsuite简单使用的系列文章，大家也可以简单了解

当然下一篇我会介绍，怎么去防御csrf漏洞