1. token介绍
Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。
-
Token 完全由应用管理,所以它可以避开同源策略
-
Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx)
-
Token 可以是无状态的,可以在多个服务间共享
2. 利用burp进行暴力破解
在网站上随便输入用户名和密码 用burp进行抓包
将包发送至intruder ctrl+i 或者右键 破解类型选择pitchfork 设置password和token是变量
在options中的grep-extract中打勾点击add添加过滤条件 点击refetch response找到响应包中的token 选中复制token值点击确定
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
