Блог

Я пытаюсь запустить инструмент CSRFTester из OWASP для проверки CSRF-атаки на мое веб-приложение. Я могу сгенерировать HTML-отчет из инструмента, но я не знаю, как его использовать .. я пытался использовать его в Google, но безрезультатно. Вот шаги, которые я выполняю до сих пор:-

 > 1. Login to my Web Application.
> 2.Access to the business logic function page.
> 3.Start Recording(CSRFTester)
> 4.Enter the data in form and click on submit.
> 5.CSRFTester tool will store all the information related to this request.
> 6.I modified the value of two parameter from 10,20 to 150,300.
> 7. Generated the Form HTML report and saved it on my desktop.
> 8. Opened a new browser.Logged into my web application with different user.
> 9.Navigate to the business logic function page.
  

С этого момента я не знаю, что именно мне нужно сделать для тестирования CSRF и как это сделать..
Пожалуйста, направьте меня .. Материалы, доступные по сети для использования этого инструмента, неоднократно заявляли то же самое, что я не могу понять.

Сайты цитируют :-

После создания отчета откройте новый экземпляр браузера, аутентифицируйтесь как другой пользователь с доступом к тем же бизнес-функциям вашего сайта тестирования, а затем запустите вновь созданный файл отчета HTML. Если действие выполняется после просмотра файла в том же окне браузера, которое использовалось для аутентификации жертвы, то эта конкретная функция уязвима для CSRF (подделки межсайтовых запросов).

Пожалуйста, направьте меня..Также, если кто-нибудь знает о каком-либо бесплатном инструменте для проверки уязвимостей CSRF, пожалуйста, дайте мне знать .. Я пытался использовать Acunetix, но безрезультатно..

прежде всего, пожалуйста, убедитесь, что вы понимаете, как работает CSRF, но если вы используете инструмент и вас беспокоит эта проблема, вы уже знаете об этом.

Отчет должен представлять собой HTML-страницу с некоторым кодом JavaScript, который генерирует те же запросы, которые вы выполняете при запуске приложения, поэтому:

1. Запустите приложение и выполните некоторые действия в веб-приложении
2. Откройте новый сеанс с новым пользователем
3. Откройте в том же браузере только что созданный файл CSRFTester
4. Посмотрите, внесены ли изменения, внесенные вами в другой профиль, в фактический профиль.

Если вы не видите никаких изменений, убедитесь, что действия, которые вы выполняете в веб-приложении, являются общими действиями между пользователями, например, изменение сведений о пользователе.