bookmark_borderBurpSuite使用宏绕过CSRF_Token

用了那么久BurpSuite,才知道有Session Handling Rules(会话处理规则)这么个功能可以绕过CSRF_Token,以前都是想着写插件或者Python脚本来绕过。

既然学到了,那就写个博客记录一下,还是蛮简单的。

内容比较多,这里简单说一下主要有两点:

  1. 配置一个宏,通过正则等方式自动获取页面表单中的Token值。
  2. 配置一个会话处理规则,选择刚刚的配置的宏,根据自定义的配置使宏在不同的URL和工具中生效,自动替换指定的参数内容。
Continue reading “BurpSuite使用宏绕过CSRF_Token”