想要从 OWASP 运行 CSRFTester 但没有得到结果

Question

我正在尝试从 OWASP 运行 CSRFTester 工具来检查我的 Web 应用程序上的 CSRF 攻击。我可以从该工具生成 HTML 报告，但我不知道如何使用它。我尝试使用谷歌搜索但无济于事。 以下是我到目前为止所遵循的步骤：-

> 1. Login to my Web Application.
> 2.Access to the business logic function page.
> 3.Start Recording(CSRFTester)
> 4.Enter the data in form and click on submit.
> 5.CSRFTester tool will store all the information related to this request.
> 6.I modified the value of two parameter from 10,20 to 150,300.
> 7. Generated the Form HTML report and saved it on my desktop.
> 8. Opened a new browser.Logged into my web application with different user.
> 9.Navigate to the business logic function page.

从这里开始，我不知道我到底要做什么来测试 CSRF 以及如何去做.. 请指导我..网络上可用的使用此工具的材料反复说明了我无法理解的相同内容。

网站引用：-

生成报告后，打开一个新的浏览器实例，验证为 其他有权访问您的相同业务功能的用户 测试站点，然后启动新创建的 HTML 报告文件。 如果在同一浏览器窗口中查看文件后的动作效果 那是用来验证受害者的，然后那个特定的 函数易受 CSRF(cross-site request forgery) 攻击。

请指导我..另外，如果有人知道任何免费工具来测试 CSRF 漏洞，请告诉我..我尝试使用 Acunetix 但无济于事..

Answer 1

首先请确保您了解 CSRF 的工作原理，但如果您正在使用该工具并且担心这个问题，那么您已经知道了。

报告应该是一个 HTML 页面，其中包含一些 JavaScript 代码，这些代码生成的请求与您在应用运行时执行的请求相同，因此：

1. 运行应用程序并在 Web 应用程序中执行一些操作
2. 与新用户打开一个新会话
3. 在同一浏览器中打开刚刚生成的 CSRFTester 文件
4. 查看您在其他配置文件中所做的更改是否也在实际配置文件中完成。

如果您没有看到任何更改，请确保您在网络应用中执行的操作是用户之间的常见操作，如更改用户详细信息。