1、使用AWVS扫描漏洞,找到可能存在CSRF的页面
2、找到可能存在CSRF的页面,抓包
右击生成CSRF POC
清除refer和cookie的影响
3、修改一些参数
4、点击Test in browser,弹出一个框,下面的just copy 打对勾
复制生成的url,在浏览器中访问
增加了一条新纪录,存在CSRF
或者复制POC代码,修改参数,换个浏览器访问
信息被修改,或成功新增表单,则说明可以成功伪造请求进行操作,存在CSRF漏洞。
若无被修改/新增或在粘贴地址栏回车时页面出现错误,无法提交,则不存在CSRF漏洞