CSRF POC Maker - простой и удобный инструмент для атак межсайтовой подделки запроса

Это инструмент, специально разработан автором Shawar Khan, для исследователей Pentesters & Security, чтобы помочь им создать Proof of Concept (POC) для выполнения атак  межсайтовой подделки запроса (CSRF). Этот инструмент формирует готовый эксплойт для запуска атаки CSRF.Инструкции: После того как эксплойт создан, его нужно сохранить как .html и запустить. В экспойт добавляется javascript , поэтому всякий раз, когда откроется файл .html, эксплоит запустится автоматически (без участия пользователя).

Эксплоит сформирован и сохраняется в папке с утилитой.

Чё с этим делать дальше, пока не разобралась. Но сама суть атаки понятна.

Эта опаснейшая атака, которая приводит к тому, что хакер может выполнить на неподготовленном сайте массу различных действий от имени других, зарегистрированных посетителей.

Какие это действия – отправка ли сообщений, перевод денег со счёта на счёт или смена паролей – зависят от сайта, но в любом случае эта атака входит в образовательный минимум веб-разработчика.

Злая форма

Классический сценарий атаки таков:

Вася является залогиненным на сайт, допустим, mail.com. У него есть сессия в куках.

Вася попал на "злую страницу", например хакер пригласил его сделать это письмом или как-то иначе.

На злой странице находится форма такого вида:

<form action="http://mail.com/send" method="POST">
  <input type="hidden" name="message" value="Сообщение">
  ...
</form>
При заходе на злую страницу JavaScript вызывает form.submit, отправляя таким образом форму на mail.com.

Сайт mail.com проверяет куки, видит, что посетитель авторизован и обрабатывает форму. В данном примере форма предполагает посылку сообщения.

Установка и запуск

git clone https://github.com/shawarkhanethicalhacker/csrfpocmaker.git

cd csrfpocmaker

python csrfpocmaker.py

Если кто до конца разберется с утилитой раньше меня, прошу оставлять каменты.