我是OWASP ZAP的新手,所以我需要你的帮助。
我有漏洞网站 - DVWA。我正在尝试使用bruteforce中的令牌(CSRF)。
页面加载时,我有带有登录名,密码和用户令牌的HTML表单。第三个字段由动态令牌(CSRF)填充。
我需要使用带有CSRF令牌的bruteforce。
1)从加载的页面接收user_token 2)通过Fuzzer发送表单
据我了解,我需要创建脚本以从加载的页面接收user_token,然后运行Attak - >授权链接上的Fuzz,然后选择user_token值并添加将在每个请求中填充的playload脚本。
但我在互联网上找不到任何关于如何创建此脚本的信息,请帮助我。
答案 0 :(得分:0)