挖掘經驗

黑盒挖掘

• 抓包看看有沒有token，如果沒有token的話，再請求該頁面，不帶referer，如果返回數據還是一樣很可能就存在csrf漏洞

白盒挖掘

• 讀代碼的時候，看看幾個核心文件有沒有驗證token和referer相關的代碼，這里的核心文件指的是被大量文件引用的基礎文件，或者直接搜token這個關鍵字找，如果核心文件沒有，再去看看你關心的功能點的代碼有沒有驗證

漏洞防范

• 添加token驗證

總結

以上是生活随笔為你收集整理的PHP-代码审计-CSRF的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。