csrf 檢測方法有什么

CSRF（Cross Site Request Forgery, 跨站域請求偽造）是一種網絡的攻擊方式，該攻擊可以在受害者毫不知情的情況下以受害者名義偽造請求發送給受攻擊站點，從而在并未授權的情況下執行在權限保護之下的操作，有很大的危害性。

這里推薦使用CSRFTester-1.0檢測。

CSRFTester是一款CSRF漏洞的測試工具。

工具的測試原理： 使用代理抓取我們在瀏覽器中訪問過的所有的連接以及所有的表單等信息，通過在CSRFTester中修改相應的表單等信息，重新提交，相當于一次偽造客戶端請求，如果修測試的請求成功被網站服務器接受，則說明存在CSRF漏洞，當然此款工具也可以被用來進行CSRF攻擊。

使用工具注意事項：

run.bat中jdk的目錄按當前電腦路徑自行更改點擊run.bat才可使用

關于瀏覽器進行代理問題須是HTTP的代理，在CSRFTester中才接收的到

功能略顯不足，在部分測試頁面中抓取的表單不能修改參數

檢測步驟

步驟1：設置瀏覽器代理

CSRFTester使用前需要設置代理，設置成功之后，我們在瀏覽器中的所有訪問頁面都將被CSRFTester抓取。

步驟2： 使用合法賬戶訪問網站

首先打開CSRFTester工具，點擊Start Recording，如下圖-5所示，CSRFTester會將我們之后使用瀏覽器訪問的所有頁面，表單之類進行抓取記錄。

步驟3：通過CSRF修改并偽造請求

CSRTTest將所有的頁面表單都抓取下來了，等到抓取到了我們要做測試的頁面時，就可以點擊Stop Recording ，停止抓取URL，并開始修改相應的表單進行測試。

回答所涉及的環境：聯想天逸510S、Windows 10。