我是 OWASP ZAP 的新手,所以我需要你的帮助。
我有漏洞站点 - DVWA。我正在尝试以暴力破解令牌(CSRF)。
当页面加载时,我有带有登录名、密码和用户令牌的 HTML 表单。第三个字段由动态令牌(CSRF)填充。
我需要对 CSRF 令牌使用蛮力。
1) 从加载的页面接收 user_token 2) 通过 Fuzzer 发送表单
据我了解,我需要创建用于从加载页面接收 user_token 的脚本,然后在授权链接上运行 Attak -> Fuzz,然后选择 user_token 值并添加将在每个请求中填充它的 playload 脚本。
但是我在互联网上找不到任何关于如何创建这个脚本的信息,请帮助我。