Quería probar campos ocultos específicos con diferentes valores para cada uno con el caso de prueba de falsificación de solicitud entre sitios. ¿Cómo uno haría eso? Tanto manual como un enfoque automatizado harían.
Listas de exclusión para este caso de prueba:
He probado con ellos, es tedioso e ineficiente.
El extensor de Burp Suite tiene un par de complementos CSRF que pueden ayudar a mejorar su experiencia. Intentan detectar solicitudes sin un token de protección CSRF como parte del escáner pasivo, o realizar comprobaciones activas para ver si se pueden realizar las solicitudes (es decir, obtener una respuesta 200 OK) sin los tokens.
También te puede interesar zaproxy , que es una alternativa de código abierto para Burp Suite que tiene la misma Características y algunas más. Puede que te quede mejor. La interfaz de usuario no es tan intuitiva, pero sigue siendo excelente.
Personalmente, para realizar pruebas de una gran cantidad de páginas / sitios, escribo un script de prueba realmente simple en Python utilizando Scrapy . Para cada uno de los objetos de respuesta dados, acceda al cuerpo de la respuesta, luego use xpath(query) o css(query) funciona para identificar formularios que tienen campos de token CSRF con un nombre dado. A continuación, puede recopilar el conjunto completo de entradas para esos campos y la URL de destino.
Una vez que tenga una serie de objetivos y campos de formulario, puede ajustar los tokens CSRF a su gusto, luego intente enviar los formularios con los valores que considere adecuados. Verifique los valores de respuesta para ver si el resultado regresa con un error, o redirige a un error.
Lea otras preguntas en las etiquetas csrf