WEB攻防-通用漏洞CSRFSSRF协议玩法内网探针漏洞利用

CSRF构造工具，也可以用bp构造

选中要保存的请求，点击Generate HTML,生成带有添加用户请求的html文件，然后将构造的html放在网站上，生成访问地址，诱导管理员点击链接，就会添加用户

start Recording之后就会抓取到包

怎么看有没有同源策略：以新网页打开页面，如果能打开，则没有同源策略，refer会为空

首先生成后门：