关于使用Burpsuit对有token验证的网站进行爆破

130 阅读1分钟

首先我们找到一个有token的网站,我以DVWA进行举例

图片.png 通过对网站的源代码进行审查,知道这个网页有token

屏幕截图_20230124_224351.png 我们通过对Burpsuit设置宏的方式对token进行爆破project options————add

屏幕截图_20230124_224751.png add

图片.png add

图片.png

图片.png configure item

图片.png

图片.png 这里我们需要注意uer_token 的值需要和value的值进行对应

图片.png 在这里选中Update only the following parameters 对值user_token进行更新

图片.png 这里对password设置变量 然后我们载入字典对这个网站的后台进行爆破,我们可以通过爆破后的返回的token的值进行验证是否成功

图片.png

图片.png