如何验证我的CSRF修复是否成功使用Burp？

Question

我知道我可以使用Generate特性来测试我是否有CSRF漏洞，但是一旦我减轻了这个漏洞，Burp将如何在下一次扫描中识别这个修复？我需要能够通过运行Burp扫描向客户证明该漏洞不再存在。

Answer 1

对于任何CSRF问题，预防的一般演示都表明，使用相同的预防性令牌或没有预防性令牌重复相同请求不会导致服务器上的任何数据发生更改。

因此，执行一个合法的请求，将其发送到中继器，然后再次执行它。如果有效，CSRF保护就不起作用了。

然后删除CSRF令牌并再次发送。如果有效的话，保护就不起作用了。