Usage: xsrfprobe -u
必要参数:
-u URL, --url URL 要测试的主 URL
可选参数:
-c COOKIE, --cookie COOKIE 每个后续请求都要请求的 Cookie 值 如果有多个 Cookie 请用逗号分隔它们 例如: '-c PHPSESSID=i837c5n83u4, _gid=jdhfbuysf'
-o OUTPUT, --output OUTPUT 要存储文件的输出目录 默认是 output/ 文件夹 所有生成的文件都将存储在其中
-d DELAY, --delay DELAY 以秒为单位的请求之间的时间延迟 默认为零
-q, --quiet 将调试模式设置为安静 仅在发现漏洞时报告 屏幕上将打印最小输出
-H HEADERS, --headers HEADERS 您要使用的自定义标头的逗号分隔列表 例如: '--headers "Accept=text/php, X-Requested-With=Dumb"'
-v, --verbose 增加输出的详细程度 (e.g., -vv is more than -v).
-t TIMEOUT, --timeout TIMEOUT 以秒为单位的 HTTP 请求超时值 输入的值可以是十进制整数或浮点数 例如: '--timeout 10.0'
-E EXCLUDE, --exclude EXCLUDE 要排除的不在范围内的路径或目录的逗号分隔列表 不会扫描这些路径/目录 例如: '--exclude somepage/, sensitive-dir/, pleasedontscan/'
--user-agent USER_AGENT 要使用的自定义用户代理 仅能指定一个用户代理
--max-chars MAXCHARS 要生成的自定义令牌值的最大允许字符长度 例如: '--max-chars 5' 默认值6字符
--crawl 爬取整个站点并同时测试所有已发现的 CSRF 端点
--no-analysis 跳过请求期间收集的令牌的扫描后分析
--malicious 生成可用于实际漏洞利用的恶意 CSRF 表单
--skip-poc 跳过基于 POST 的跨站点请求伪造的 PoC 表单生成
--no-verify 不要在请求中验证 SSL 证书
--display 当发出请求时打印出请求的响应头
--update 在 GitHub 上通过 git 更新 XSRFProbe 到最新版本
--random-agent 使用随机的用户代理来发出请求
--version 显示 XSRFProbe 版本并退出