關(guān)于lazyCSRF

lazyCSRF是一款功能強(qiáng)大的Burp Suite插件，該工具可以幫助廣大研究人員生成功能強(qiáng)大的CSRF(跨站請(qǐng)求偽造) PoC。Burp Suite是一個(gè)攔截HTTP代理，是執(zhí)行Web應(yīng)用程序安全測(cè)試的強(qiáng)大工具。引入lazyCSRF之后，Burp Suite就可以直接生成CSRF PoC了。

在此之前，我比較喜歡使用的是“Generate CSRF PoC”，但這個(gè)插件無法自動(dòng)判斷請(qǐng)求的內(nèi)容，而且它甚至還會(huì)使用“form”來生成無法用“form”表示的 PoC，例如使用JSON作為參數(shù)或PUT請(qǐng)求的情況。除此之外，在生成的CSRF PoC中，可以在Burp套件本身中顯示的多字節(jié)字符經(jīng)常會(huì)顯示成亂碼。因此，lazyCSRF便應(yīng)運(yùn)而生了。

功能介紹

• 使用XMLHttpRequest自動(dòng)切換至PoC：參數(shù)為JSON情況，或請(qǐng)求為PUT/PATCH/DELETE的情況;
• 支持顯示多字節(jié)字符;
• 使用Burp Suite社區(qū)版生成CSRF PoC(當(dāng)然也適用于Burp Suite專業(yè)版);

多字節(jié)數(shù)據(jù)顯示差異

下圖中顯示的是Burp Suite的CSRF PoC生成器與LazyCSRF之間在顯示多字節(jié)字符時(shí)的差異。

LazyCSRF能夠在不會(huì)混淆多字節(jié)字符的情況下生成CSRF PoC，而LazyCSRF也是Burp Suite中唯一一個(gè)不會(huì)混淆多字節(jié)字符或不會(huì)將多字節(jié)字符顯示為亂碼的插件工具。

工具安裝

廣大研究人員可以直接訪問該項(xiàng)目的【Releases頁面】下載編譯好的JAR包。然后在Burp Suite中，點(diǎn)擊“Extensions”標(biāo)簽頁，然后選擇“添加新的插件”。選擇插件類型為“Java”，然后選擇我們已下載的JAR。

工具使用

我們可以通過在菜單欄中選擇“Extensions -> LazyCSRF -> Generate CSRF PoC By LazyCSRF”來生成一個(gè)CSRF PoC。

代碼構(gòu)建

首先，我們需要使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/tkmru/lazyCSRF.git 

接下來，我們就可以選擇下列方式來進(jìn)行代碼構(gòu)建了。

(1) Intellij構(gòu)建

如果你使用的是IntelliJ IDEA，你就可以點(diǎn)擊“Build -> Build Artifacts -> LazyCSRF:jar -> Build”來進(jìn)行代碼構(gòu)建了。

(2) 命令行構(gòu)建

我們也可以選擇在命令行中使用maven進(jìn)行代碼構(gòu)建：

$ mvn install 

許可證協(xié)議

本項(xiàng)目的開發(fā)與發(fā)布遵循MIT開源許可證協(xié)議。

項(xiàng)目地址

lazyCSRF：【GitHub傳送門】