??关于lazyCSRFlazyCSRF是一个强大的BurpSuite插件,可以帮助研究人员生成强大的CSRF(跨站请求伪造)PoC。BurpSuite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF后,BurpSuite可以直接生成CSRFPoC。在此之前,我比较喜欢使用“GenerateCSRFPoC”,但是这个插件不能自动判断请求的内容,甚至用“form”来生成不能用“form”表示的PoC,比如使用JSON作为参数或PUT请求的情况。除此之外,在生成的CSRFPoC中,Burp套件本身可以显示的多字节字符经常显示为乱码。因此,lazyCSRF应运而生。功能介绍使用XMLHttpRequest自动切换到PoC:当参数为JSON时,或者当请求为PUT/PATCH/DELETE时;支持显示多字节字符;使用BurpSuite社区版生成CSRFPoC(当然也适用于BurpSuite专业版);多字节数据显示差异下图是BurpSuite的CSRFPoC生成器和LazyCSRF在显示多字节字符时的区别。LazyCSRF可以生成不混淆多字节字符的CSRFPoC,LazyCSRF也是BurpSuite中唯一不会混淆多字节字符或将多字节字符显示为乱码的插件工具。工具安装广大研究人员可以直接访问项目的【Releases页面】下载编译好的JAR包。然后在BurpSuite中,单击“扩展”选项卡并选择“添加新插件”。选择插件类型为“Java”并选择我们下载的JAR。工具使用我们可以通过在菜单栏中选择“Extensions->LazyCSRF->GenerateCSRFPoCByLazyCSRF”来生成一个CSRFPoC。代码构建首先,我们需要使用如下命令将项目源代码clone到本地:gitclonehttps://github.com/tkmru/lazyCSRF.git接下来,我们可以选择以下方式构建代码。(1)Intellij构建如果你使用的是IntelliJIDEA,你可以点击“Build->BuildArtifacts->LazyCSRF:jar->Build”来构建代码。(2)命令行构建我们也可以选择在命令行使用maven进行代码构建:$mvninstall许可协议本项目的开发和发布遵循MIT开源许可协议。项目地址lazyCSRF:【GitHub传送门】
