文件名称:marlon-csrfscanner:使用Goutte用PHP编写的CSRF扫描仪
文件大小:27KB
文件格式:ZIP
更新时间:2024-06-06 22:42:26
PHP
CSRF扫描仪 防御CSRF很容易,并且测试该保护是否确实存在也很容易。 但是,连续测试大量站点是一项阻力。 CSRF扫描仪的典型流程如下: 搜寻网站以查找所有页面 在每一页上,找到所有表格 在弄乱令牌的同时提交每个表单 检查它们是否受到足够的保护。 警告 不要在现场进行测试,因为它会执行您可能不喜欢的各种表单提交,搞乱数据库以及可能对站点进行DoS。 在一次性测试现场使用! 假设条件 目前,扫描仪假定已受到保护: 每个表单都必须有一个隐藏的令牌字段, 更改或删除该令牌字段应导致403禁止响应。 但是可以添加不同的规则。 爬网仅限于首页的域(在配置文件中定义) 有时,在不同的页面上会重复相同的表格。 在这种情况下,它只能测试一次。 它没有做什么 如果在您的站点上,GET请求可能会导致损坏,则此工具将无法检测到该损坏。 只是永远不要让GET用于非幂等请求。 Javascript
【文件预览】:
marlon-csrfscanner-master
----VERSION(7B)
----src()
--------Scanner()
----phpunit.xml.dist(842B)
----README.md(3KB)
----tests()
--------minisite()
--------minisite.profile.dist(316B)
--------Test()
--------Acceptance()
----.gitignore(57B)
----bin()
--------csrfscan(333B)
----composer.json(426B)