6.5 Burp Suite 生成CSRF PoC

此功能可用于為給定請求生成概念驗證（PoC）跨站點請求偽造（CSRF）攻擊。

要訪問此功能，請在Burp中的任意位置選擇一個URL或HTTP請求，然后在上下文菜單的“參與工具”中選擇“生成CSRF PoC”。

當您執行此功能時，Burp在頂部面板中顯示您選擇的完整請求，在底部面板中顯示生成的CSRF HTML。HTML使用表單或JavaScript在瀏覽器中生成所需的請求。

您可以手動編輯請求，然后單擊“重新生成”按鈕以根據更新后的請求重新生成CSRF HTML。

您可以使用“在瀏覽器中測試”按鈕在瀏覽器中測試生成的PoC的有效性。選擇此選項時，Burp將為您提供一個唯一的URL，您可以將該URL粘貼到瀏覽器中（配置為使用Burp的當前實例作為其代理）。Burp使用當前顯示的HTML來提供結果瀏覽器請求，然后您可以通過監視通過Proxy提出的結果請求來確定PoC是否有效。

關于CSRF技術，應注意以下幾點：

• 跨域XmlHttpRequest（XHR）技術僅適用于支持跨域資源共享（CORS）的現代HTML5瀏覽器。該技術已在Firefox，Internet Explorer和Chrome的當前版本上進行了測試。瀏覽器必須啟用JavaScript。請注意，使用此技術，瀏覽器不會以正常方式處理應用程序的響應，因此它不適合發出跨域請求以傳遞反射的跨站點腳本（XSS）攻擊。跨域XHR受到各種限制，可能會使其無法使用某些請求功能。如果這很可能發生，Burp將在CSRF PoC生成器中顯示警告。

• 某些請求具有正文（例如XML或JSON），這些正文只能使用具有純文本編碼的表單或跨域XHR生成。在前一種情況下，結果請求將包含標題“ Content-Type：text / plain”。在后一種情況下，該請求可以包含任何Content-Type標頭，但僅會被視為“簡單”跨域請求（因此，無需使用通常會破壞攻擊的飛行前請求）。類型標頭具有可以為普通HTML表單指定的標準值之一。在某些情況下，盡管消息正文與攻擊請求所需的消息完全匹配，但由于意外的Content-Type標頭，應用程序可能會拒絕該請求。這種類似于CSRF的條件可能實際上無法利用。

• 如果您手動選擇了不能用于產生所需請求的CSRF技術，則Burp將在PoC上盡最大努力并顯示警告。

• 如果CSRF PoC生成器使用純文本編碼，則請求正文必須包含一個等號字符，以便Burp生成HTML表單，從而生成該確切的正文。如果原始請求不包含等號字符，則可以在請求中的合適位置引入一個字符，而不會影響服務器對它的處理。

CSRF PoC選項

提供以下選項：

• CSRF技術 -此選項使您可以指定要在生成CSRF請求的HTML中使用的CSRF技術的類型。通常首選“自動”選項，它會使Burp選擇能夠生成所需請求的最適當技術。

• 包括自動提交腳本 -使用此選項會使Burp在HTML中包括一個腳本，該腳本使啟用JavaScript的瀏覽器在加載頁面時自動發出CSRF請求。