前言
可以使用phpstudy建本地网站,将csrf漏洞验证的html放到网站根目录,验证csrf漏洞。
操作步骤
- 使用burp生成poc,将html保存到本地,命名为csrf.html。
- 将这个html上传到phpstudy网站根目录,输入127.0.0.1/csrf.html进行访问。
- 用burp抓包,重放csrf.html。如果能正常返回页面,说明csrf漏洞存在。
原理:本质上是修改了网站的referer。修复这个漏洞的方式是限制referer,不允许其他域名的referer访问网站。
待实操。