小程序端怎么测试CSRF

如果是Web端还可以通过切换账号点击CSRF的POC页面,那手机端测试怎么做呢?有没有大佬给个高见

请先 登录 后评论

5 个回答

王陌少

抓包 保存包,抓另一个账号的包改成之前的包试试

请先 登录 后评论
Arthur

就是手机装模拟器,或者手机操作,然后使用电脑抓包,别的操作就和web漏洞一样,测csrf使用burp就行。

请先 登录 后评论
YanXia

抓包,删除referer看看,还能不能正常执行。可以的话,通过修改成另外一个人的cookie来看看能不能正常执行。都可以的话差不多稳了

请先 登录 后评论
donky16

如果只能在手机端测试,可以使用HttpCanary软件,无需root,支持HTTP1.0/1.1/2/HTTPS各种网络协议,直接在手机端就可以修改数据包测试CSRF。

请先 登录 后评论
SNCKER
不管是pc还是手机都可以通过抓包进行分析并且构造出poc。
请先 登录 后评论