¿Cómo verifico que mi corrección de CSRF sea exitosa al usar Burp?

5

Sé que puedo usar la función Generar CSRF PoC para probar si tengo una vulnerabilidad de CSRF, pero una vez que mitigue esto, ¿cómo reconocerá Burp esta solución en la próxima exploración? Necesito poder demostrarle al cliente que la vulnerabilidad ya no está presente al ejecutar un análisis de Burp.

    
pregunta sproketboy 30.10.2015 - 12:10
fuente

1 respuesta

5

Para cualquier problema de CSRF, la demostración general de prevención muestra que repetir la misma solicitud con el mismo token preventivo, o sin token preventivo, no produce cambios en los datos del servidor.

Por lo tanto, realice una solicitud legítima, envíela al repetidor e intente realizarla nuevamente. Si funciona, la protección CSRF no funciona.

Luego retire el token CSRF y envíelo nuevamente. Si funciona, la protección no funciona.

    
respondido por el Matthew 22.12.2015 - 18:18
fuente

Lea otras preguntas en las etiquetas