如何在暴力模式下使用 OWASP ZAP 在授权请求中获取 CSRF 令牌
Posted
技术标签:
【中文标题】如何在暴力模式下使用 OWASP ZAP 在授权请求中获取 CSRF 令牌【英文标题】:How to get CSRF token on authorization request with OWASP ZAP in bruteforce mode 【发布时间】:2017-06-16 20:34:06 【问题描述】:我是 OWASP ZAP 的新手,所以我需要你的帮助。
我有漏洞站点 - DVWA。我正在尝试以暴力破解令牌(CSRF)。
当页面加载时,我有带有登录名、密码和用户令牌的 html 表单。第三个字段由动态令牌(CSRF)填充。
我需要对 CSRF 令牌使用暴力破解。
1) 从加载的页面接收 user_token 2) 通过 Fuzzer 发送表单
据我了解,我需要创建用于从加载页面接收 user_token 的脚本,然后在授权链接上运行 Attak -> Fuzz,然后选择 user_token 值并添加将在每个请求中填充它的 playload 脚本。
但是我在互联网上找不到任何关于如何创建这个脚本的信息,请帮助我。
【问题讨论】:
【参考方案1】:在 google 群组中回复。 https://groups.google.com/forum/#!topic/zaproxy-users/1OyLNAYVBic
谢谢大家。
【讨论】:
以上是关于如何在暴力模式下使用 OWASP ZAP 在授权请求中获取 CSRF 令牌的主要内容,如果未能解决你的问题,请参考以下文章
如何在 Android 上使用 OWASP ZAP 进行 MiTM 攻击?
Owasp zap 工具 - 如何获取通过和失败测试的列表?