CSRF Request Builder

CSRF Request Builder是一款CSRF漏洞利用和測試工具。CSRF Request Builder可以生成用于實(shí)際系統(tǒng)在現(xiàn)實(shí)場景中的POC，但是這些poc只是以測試為目的，離實(shí)際的GJ還是有差距的...作者寫這個(gè)工具的原因是：當(dāng) 前用HTML/JS實(shí)現(xiàn)JOSN的CSRF是比較容易的，但是他在一次滲透測試過程中，發(fā)現(xiàn)被測試的應(yīng)用會驗(yàn)證，請求中是否包含content-type :  application/json。因此為了完成這個(gè)測試他用Flash實(shí)現(xiàn)了這個(gè)工具。flash不但可以設(shè)置請求頭還可以隨意設(shè)置請求內(nèi) 容，flash也有其自身的限制如不允許設(shè)置multipart/form-data，以防止用CSRF上傳文件具體可以參見（http: //www.exploit-db.com/exploits/7383/）還有一個(gè)就是flash不能使用PUT或DELETE方法。

介紹內(nèi)容出處 Pulog