国外网页视频抓取工具( CSRFTester漏洞利用示例就是网站管理员-1CSRFTester使用方法)

　　国外网页视频抓取工具(

CSRFTester漏洞利用示例就是网站管理员-1CSRFTester使用方法)

　　CSRFTester：CSRF漏洞的安全测试工具

　　CSRFTester 是 CSRF 漏洞的测试工具。在说工具之前，先简单介绍一下CSRF漏洞。CSRF的英文全称是CrossSite Request Forgery，也就是常说的跨站伪造。它是一种伪造客户端请求的攻击形式。它是指通过伪装成可信任用户的请求来达到攻击目标网站的目的。CSRF是2000年在国外提出的，但应该算是2008年才在国内广泛使用的，所以对于很多人来说，可能比较陌生。CSRF漏洞利用的一个简单例子是，当管理员点击外部连接时，他在不知情的情况下将*敏*感*词*分子设置的帐户添加到自己的网站。

　　CSRFTester工具的测试原理大致是这样的。使用代理获取我们在浏览器中访问过的所有连接以及所有表单和其他信息。通过修改CSRFTester中对应的表格等信息，重新提交相当于伪造。客户端请求，如果修复测试请求被网站服务器成功接受，则说明存在CSRF漏洞。当然，这个工具也可以用来进行CSRF攻击。

　　BackTrack4 R2下内置CSRFTester，具体调用方法如图1所示：依次选择菜单中的“Backtrack”-“Web应用分析”-“Web(fronted)”-“CSRFTester”，您可以使用参数打开 CSRFTester Shell 列表。当然也可以打开BT4下的任意Shell，进入/pentest/cisco/oscanner目录，输入./oscanner.sh命令即可使用该工具。

　　ͼ-1

　　如何使用CSRFester

　　让我们通过一个例子来了解CSRFTester工具！具体步骤如下：

　　第一步：设置浏览器代理

　　在使用CSRFTester之前，您需要设置一个代理。设置成功后，我们在浏览器中访问的所有页面都会被CSRFTester抓取。

　　配置火狐浏览器的代理，在edit中选择preferences，设置代理，如下图2所示：

　　ͼ-2

　　在高级配置中选择网络选项卡，点击设置，如下图3所示：

　　ͼ-3

　　然后设置代理，如下图4所示：

　　ͼ-4

　　这里我们设置CSRFTester代理地址为127.0.0.1，端口为8008，代理设置完成后就可以使用CSRFTester工具了。

　　第二步：使用合法账号访问网站

　　首先打开CSRFTester工具，点击Start Recording，如下图5所示。CSRFTester 将捕获我们稍后将使用浏览器访问的所有页面和表单。

　　ͼ-5

　　然后打开火狐浏览器，访问我们要测试的网站。CSRFester 工具将抓取所有访问过的链接，如下图 6 所示。我们访问 wordpress 的新帐户页面。

　　ͼ-6

　　我们添加一个新的账户测试，如下图-7所示，是网站的现有账户。

　　ͼ-7

　　第三步：通过CSRF修改和伪造请求

　　CSRTTest 已捕获所有页面表单。当我们要测试的页面被抓取到后，可以点击停止录制停止抓取URL，并开始修改相应的表单进行测试，如下图8所示：

　　ͼ-8

　　停止录制后，我们点击要测试的URL，然后修改相应的表单信息，如下图9所示：

　　ͼ-9

　　如上图9所示，我们抓取添加用户的页面。红色区域是添加用户的表单信息。现在我们修改表单信息并提交。如果可以成功添加用户，则说明网站存在CSRF漏洞。

　　ͼ-10

　　ͼ-11

　　提交成功后，我们查看网站，可以看到已经添加了fly用户，说明这个网站存在CSRF漏洞，如下图12所示。

　　ͼ-12

　　注意：使用CSRFTester工具进行测试时，最好只打开要测试的网站页面，即工具中截取的页面越少越好，否则测试结果可能不准确。