2

我是 OWASP ZAP 的新手,所以我需要你的帮助。

我有漏洞站点 - DVWA。我正在尝试以暴力破解令牌(CSRF)。

当页面加载时,我有带有登录名、密码和用户令牌的 HTML 表单。第三个字段由动态令牌(CSRF)填充。

我需要对 CSRF 令牌使用蛮力。

1) 从加载的页面接收 user_token 2) 通过 Fuzzer 发送表单

据我了解,我需要创建用于从加载页面接收 user_token 的脚本,然后在授权链接上运行 Attak -> Fuzz,然后选择 user_token 值并添加将在每个请求中填充它的 playload 脚本。

但是我在互联网上找不到任何关于如何创建这个脚本的信息,请帮助我。

4

1 回答 1

1

google 群里的回复。 https://groups.google.com/forum/#!topic/zaproxy-users/1OyLNAYVBic

谢谢大家。

于 2017-02-01T12:34:39.913 回答