使用burp suite暴力破解DVWA中带有token值的brup force的登陆界面

1.将DVWA的安全等级设置为hight：

2.爆破带有token的表单（事先通过验证，用户名是admin，密码是password）：

3.抓取数据包，发送到intruder模块中，测试用户名正确的状况（只爆破密码便于测试），Attack type选择Pitchfork。将passwod和user_token设置攻击位置（attack position）：

4.在payload中加载爆破数据，1选择simple list ，添加password密码字典，payload2选择Recursive grep，在option中将request engine中threads设置为1，在Grep-Extract点add添加规则

5.always要选上了，否则只有一个初始的token

6.点击refetch response能够请求页面：若是是302就须要重作了

7.返回payload里添加初始token后，点击右上角的start attack开始爆破

破解成功了!