Burpを使用してCSRF修正が成功したことを確認するにはどうすればよいですか?
CSRFの生成PoC機能を使用してCSRFの脆弱性があるかどうかをテストできることはわかっていますが、これを緩和すると、Burpは次のスキャンでこの修正をどのように認識しますか? Burpスキャンを実行して、脆弱性が存在しないことをクライアントに示す必要があります。
CSRFの問題については、防止の一般的なデモは、同じ要求を同じ防止トークンで、または防止トークンなしで繰り返しても、サーバー上のデータが変更されないことを示しています。
したがって、正当な要求を実行し、それをリピーターに送信して、もう一度実行してみてください。それが機能する場合、CSRF保護は機能していません。
次に、CSRFトークンを削除して、もう一度送信します。機能する場合、保護は機能していません。