burpsiute的基础使用(2)

爆破模块（intruder）：

csrf请求伪造访问（模拟攻击）:

方法一：

通过burp将修改，删除等行为的数据包压缩成一个可访问链接，通过本地浏览器访问（该浏览器用户处于登陆状态）#burp链接相当于第三方服务器的链接，访问的浏览器相当于被攻击的目标，该链接中不含cookie，是利用目标浏览器中的cookie登录，完成csrf攻击的行为。

方法二：

将删除，修改等行为的数据包修改请求体中的参数后，将数据包中除首部，host，cookie，Type(传参形式)，请求体外的东西删除后发包，若完成该行为（成功），则存在csrf漏洞.

下图表示不存在csrf请求伪造漏洞