CSRF漏洞主要是体现在越权这边,在审计的时候主要关注一下后台管理,论坛功能,修改密码,转账等等操作。

    在审计的过程中可以直接在功能的核心文件内搜索token,如果没有token验证,那么这个功能大概率会出现CSRF。

    黑盒测试的思路与代码审计基本一致,在关键功能处抓包查看有没有token验证,如果没有再次请求这个页面,删去referer,如果返回数据一致,那么大概率会出现CSRF。

    这个实例较少,暂时mark⭐