0

OWASPからCSRFTesterツールを実行して、Webアプリケーションに対するCSRF攻撃をチェックしようとしています。ツールからHTMLレポートを生成することはできますが、使用方法がわかりません。グーグルで試してみましたが、役に立ちませんでした。これが私が今まで従ってきたステップです:-

> 1. Login to my Web Application.
> 2.Access to the business logic function page.
> 3.Start Recording(CSRFTester)
> 4.Enter the data in form and click on submit.
> 5.CSRFTester tool will store all the information related to this request.
> 6.I modified the value of two parameter from 10,20 to 150,300.
> 7. Generated the Form HTML report and saved it on my desktop.
> 8. Opened a new browser.Logged into my web application with different user.
> 9.Navigate to the business logic function page.

これから、CSRFをテストするために正確に何をしなければならないのか、そしてそれをどのように行うのかわかりません。ガイドしてください。このツールを使用するためにネット上で入手できる資料には、私ができないことと同じことが繰り返し述べられています。理解する。

サイトの引用:-

レポートを生成したら、新しいブラウザインスタンスを開き、テストサイトの同じビジネス機能にアクセスできる別のユーザーとして認証し、新しく作成されたHTMLレポートファイルを起動します。被害者の認証に使用されたのと同じブラウザウィンドウでファイルを表示した後のアクション効果の場合、その特定の機能はCSRF(クロスサイトリクエストフォージェリ)に対して脆弱です。

私を案内してください..また、CSRFの脆弱性をテストするための無料ツールについて誰かが知っている場合は、私に知らせてください..私はAcunetixを使用してみましたが、役に立ちませんでした。

4

1 に答える 1

0

まず第一に、CSRF の仕組みを理解していることを確認してください。ただし、ツールを使用していて、この問題について懸念がある場合は、すでにわかっていることです。

レポートは、アプリの実行中に実行したのと同じリクエストを生成する JavaScript コードを含む HTML ページである必要があります。

  1. アプリを実行し、Web アプリケーションでいくつかのアクションを実行します
  2. 新しいユーザーとの新しいセッションを開く
  3. CSRFTester が生成したばかりのファイルを同じブラウザで開きます。
  4. 他のプロファイルで行った変更が実際のプロファイルでも行われているかどうかを確認してください。

変更が見られない場合は、Web アプリで実行するアクションが、ユーザーの詳細を変更するなど、ユーザー間で共通のアクションであることを確認してください。

于 2011-10-13T16:37:40.390 に答える