使用burp suite暴力破解DVWA中帶有token值的brup force的登陸界面

1.將DVWA的安全等級設置爲hight：

2.爆破帶有token的表單（事先通過驗證，用戶名是admin，密碼是password）：

3.抓取數據包，發送到intruder模塊中，測試用戶名正確的狀況（只爆破密碼便於測試），Attack type選擇Pitchfork。將passwod和user_token設置攻擊位置（attack position）：

4.在payload中加載爆破數據，1選擇simple list ，添加password密碼字典，payload2選擇Recursive grep，在option中將request engine中threads設置爲1，在Grep-Extract點add添加規則

5.always要選上了，否則只有一個初始的token

6.點擊refetch response能夠請求頁面：若是是302就須要重作了

7.返回payload裏添加初始token後，點擊右上角的start attack開始爆破

破解成功了!