XSRFProbe – CSRF 审计和开发工具包

XSRFProbe是一个用于Web应用程序的Cross-Site Request Forgery漏洞的审计和开发工具包。它可以自动化检测和利用CSRF漏洞，并生成测试向量，以协助应用程序的开发团队及时修复这些漏洞。

主要功能

• 支持自定义请求参数，方法和HTTP头
• 自动生成 CSRF 攻击向量
• 可以对多个URL执行自动化测试及自定义测试向量
• 集成了xsrfprobe-shell，可通过交互式shell来执行自定义测试向量和自动化测试
• 编写用于自定义测试向量的Python代码

安装

XSRFProbe可以通过pip安装：

pip install xsrfprobe

或者从源代码安装：

git clone https://github.com/0xInfection/XSRFProbe.git
cd XSRFProbe
python setup.py install

使用指南

在使用XSRFProbe之前，你需要提供目标URL和一个有效的漏洞验证payload。以下是使用XSRFProbe的三个示例：

使用默认payload进行自动化测试

xsrfprobe -u http://example.com/vulnerable_page.php

使用自定义测试向量进行自动化测试

xsrfprobe -u http://example.com/vulnerable_page.php -i /path/to/custom_vectors.txt

在xsrfprobe-shell中执行自定义测试向量

xsrfprobe-shell
> set url http://example.com/vulnerable_page.php
> set csrf-token csrf-token-value
> set method POST
> set post-data "name=value"
> run

更多使用细节和命令参数，请参阅XSRFProbe文档。

结束语

XSRFProbe是一个有用的工具，可帮助你自动化检测和利用Cross-Site Request Forgery漏洞。但是，请确保在适当的条件下使用此工具，避免违反任何法律和伦理标准。