Burpsuite Pro: CSRF序贯装置

Question

所以我用Burp来估计令牌用来阻止CSRF的熵。

假设一个网站在其站点中有一个url，它受到令牌的保护：

<a href="http://example.com/mypage.TOKEN=1234"> somelink</a>

我面临的问题是，如果执行多个请求，令牌将保持不变。只有当它被使用时它才会过期(它会改变)。

现在我试着用打嗝捕捉一些记号。问题是，如果我用顺序器请求相同的页面，令牌就没有改变，因为还没有访问过使用该令牌的链接(令牌还没有过期)。如何使Burp提取令牌值并在它的下一个排序器请求中使用它。

Answer 1

尝试使用Makros : Options、->会话、->会话处理->、添加->规则操作，并在会话处理规则编辑器的范围选项卡上启用Sequencer。看起来，您必须定义Makros来“访问链接”，也就是用给定的令牌调用链接指向的URL。看看周围的会话-选项卡的批准方式，以完成任务。