bring_coco的博客

一．存储型XSS与CSRF（在存储型xss中加入CSRF）1.配置代理2.打开CSRFTester工具3.抓取流量注意：Form Parameters需要将左面的两行复制过去可修改，第二个红箭头的勾选最好去掉，因为有时候自动生成的poc不能用，需要做一些更改，最后点击Generate HTML进行保存至自定义目录下，名称csrf5.html4.查看代码把容易被人发现的代码去掉将两个圈的地方去掉，将红箭头那两行必须value值相等更改完成一半，还需要一句更改密码CSRF代码成功

实验环境：phpstudy, DVWA，burpsuite演示过程：<1>使用burp代理提交内容（代理推荐使用FoxyProxy小插件）<2>burp中寻找CSRF POC自动化生成选项<3>可以看到如下为自动化生成POC自动化编写有时候有些是不能用的，最好是自己改一些<4>将HTML代码复制到新建的csrf.html中<5>将其打开<6>点击请求可以看到成功改变密码。这种方式虽然成功了，但是必须跟