首先我们找到一个有token的网站,我以DVWA进行举例
通过对网站的源代码进行审查,知道这个网页有token
我们通过对Burpsuit设置宏的方式对token进行爆破project options————add
add
add
configure item
这里我们需要注意uer_token 的值需要和value的值进行对应
在这里选中Update only the following parameters
对值user_token进行更新
这里对password设置变量
然后我们载入字典对这个网站的后台进行爆破,我们可以通过爆破后的返回的token的值进行验证是否成功
