So che posso usare la funzione Genera PoR CSRF per verificare se ho una vulnerabilità CSRF ma una volta attenuata, come farà Burp a riconoscere questa correzione alla scansione successiva? Devo essere in grado di dimostrare al client che la vulnerabilità non è più presente eseguendo una scansione Burp.
Per qualsiasi problema CSRF, la dimostrazione generale di prevenzione mostra che ripetere la stessa richiesta con lo stesso token di prevenzione o senza un token di prevenzione non comporta la modifica dei dati sul server.
Pertanto, eseguire una richiesta legittima, inviarla al ripetitore e provare a eseguirla di nuovo. Se funziona, la protezione CSRF non funziona.
Quindi rimuovi il token CSRF e invialo di nuovo. Se funziona, la protezione non funziona.
Leggi altre domande sui tag burp-suite