安全测试工具（连载4）

2 专业测试工具

2.1 CSRFTester

CSRFTester是一款CSRF漏洞的测试工具。此工具的测试原理如下：它使用代理抓取浏览器中访问过的连接以及表单等信息，通过在CSRFTester中修改相应的表单等信息，重新提交，相当于一次伪造客户端请求，如果被测试的请求成功被网站服务器接受，则说明存在CSRF漏洞，否则不存在。当然此款工具也可以被用来进行CSRF攻击。本书介绍的CSRFTester版本为V1.0。

启动CSRFTester，在命令行总显示127.0.0.1:8008被使用，如39所示。

39 CSRFTester通过监听本地8008端口来测试

然后在浏览器端配置代理，（可以参见7，注意端口改为8008）。

点击【Start Recording】，然后在浏览器页面操作待测的功能，CSRFTester通过8008端口将操作进行录制，如40所示。录制完毕点击【Stop Recording】，最后选择可能存在CSRF攻击的页面。点击页面最下方的【Generate HTML】按键，生成HTML文件。

40 CSRFTester录制浏览器操作

用浏览器打开上一步生成的HTML文件，将自动运行里面的JavaScript脚本，如果请求成功被网站服务器接受，说明存在CSRF注入，否则不存在。

案例4：电子商务登录功能CSRF测试

打开CSRFTester，设置浏览器代理为：127.0.0.1:8008，点击【Start Recording】按键，在浏览器页面输入电子商务登录页面的IP地址，输入正确的用户名和密码，成功登录到产品列表页面，点击【StopRecording】按键，定位在/login_action/页面，生成HTML页面。使用浏览器打开生成的HTML文件，进入404错误页面，登录失败，说明登录功能不存在CSRF注入。

星云测试

http://www.teststars.cc

奇林软件

http://www.kylinpet.com

联合通测

http://www.quicktesting.net