Estoy probando una aplicación que no usa tokens anti-csrf para sus solicitudes. No hay usuarios definidos para esta aplicación también. Bueno, en ese caso, ¿cómo llevar a cabo las pruebas de csrf en esta aplicación en particular?
Estoy probando una aplicación que no usa tokens anti-csrf para sus solicitudes. No hay usuarios definidos para esta aplicación también. Bueno, en ese caso, ¿cómo llevar a cabo las pruebas de csrf en esta aplicación en particular?
Relacionado: Protección CSRF para solicitudes no autenticadas, acciones ¿Búsquedas o comentarios? .
Esta pregunta no es un duplicado, ya que está preguntando cómo realizar la prueba.
De la misma forma en la que probarías el CSRF normal. Instale una solicitud al servidor que simularía la solicitud de dominio cruzado que llega. Es decir:
Origin
y referer
se configuraron adecuadamente. X-Requested-With
). Por supuesto, siempre puede realizar una prueba al alojar su propia página para realizar una solicitud de dominio cruzado al sitio que está probando (teniendo cuidado de eliminar cualquier token adicional que no se conozca, por supuesto).