暴力破解
宏爆破
token介绍
Token定义:
在现代Web应用架构中,Token 是一种关键的身份验证和授权机制。它本质上是一串由服务器生成的加密字符串,充当客户端与服务器间通信的数字通行证。有的网站后台存在 token 值,这个 token 通俗的名字叫令牌,每次刷新页面都会随机变化。提交请求时必须携带这个 token 值,可以利用这点避免后台进行直接防止被爆破。
环境及操作流程
01
环境介绍
利用DVWA中Brute Force的环境,记得将security设置为high哈
打开抓包Bp,用本机浏览器记得做好代理一致,这里使用自带的内嵌浏览器。
通过随意在登录框输入,我们会发现请求包中存在token值。
02
添加宏设置
接下来我们打开BP设置,进行对存在token的URL进行配置。
绑定GET请求中带有token值的记录,在进行项目设置。下面名称菜参数要与包中内容一致。
到这里这一步已经算是结束,我们接下来去设置处理规则
全部配置好后,接来下配置规则就好了。
03
爆破成功
扫码关注我们
原文始发于微信公众号(Rot5pider安全团队):通过宏爆破绕过token进行暴力破解
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论