Se non ti è permesso usare un intercettore (e suppongo che l'attività sia una sorta di esercizio) di solito non ne hai bisogno.
Puoi provare ad inserire manualmente alcuni attacchi in un modulo o qualunque cosa tu abbia. Il controllo di possibili attacchi XSS è possibile se si invia una stringa personalizzata ABCDEFG
e si guarda dove appare nella pagina risultante. Puoi quindi provare a perfezionare quella stringa e inserire alcuni tag, ad es.
<script>alert(1)</script>
Se questo solleva un messaggio, il codice è stato inserito correttamente.
Puoi provare ad avviare un SQLi inserendo query SQL in un elemento del modulo. Vorrei iniziare aggiungendo '
e vedere se questo risulta in un messaggio di errore SQL da qualche parte nella pagina risultante. Spesso utile è anche quello di sostituire il numero con le equazioni. Per esempio. 10
di 11-1
. Se la convalida, sai che il tuo input viene passato direttamente al motore SQL. Puoi quindi provare a inserire alcune query più sofisticate. Raccomando il cheat sheet di pentestmonkey che puoi trovare qui link
Per CSRF devi avere una pagina straniera che include un elemento che, una volta caricato, genera una query al sito che vuoi attaccare. Ad esempio
<img src="http://some.site/user.php?deleteme">
che farebbe sì che il browser richieda quel sito e possibilmente esegua la cancellazione di un account utente.
Il web è pieno di ulteriori informazioni e cheat sheet con schemi di attacco comuni. Basta google; -)