跨站請(qǐng)求偽造（Cross
Site Request Forgery）?？梢栽谟脩艉敛恢榈那闆r下，以用戶的名義偽造請(qǐng)求發(fā)送給被攻擊站點(diǎn)，從而在未授權(quán)的情況下進(jìn)行權(quán)限保護(hù)內(nèi)的操作。

抓包

在history中找到相應(yīng)的請(qǐng)求

image.png

偽造請(qǐng)求

右擊選中的鏈接，選擇Engagement tools--->Generate CSRF Pos選項(xiàng)，如下圖所示：

image.png

修改提交的參數(shù)

在彈出的對(duì)話框中，修改需要提交的參數(shù)，然后生成攻擊腳本，再?gòu)?fù)制url在瀏覽器中測(cè)試，具體步驟如下圖所示：

image.png

image.png

在瀏覽器中測(cè)試

將上一步復(fù)制的URL粘貼到瀏覽器中，點(diǎn)擊request按鈕，如下圖所示：

image.png

檢查請(qǐng)求是否成功

如果請(qǐng)求成功，則存在CSRF漏洞。