Quindi sto usando Burp per provare a stimare l'entropia usata dai token per prevenire CSRF.
Diciamo che un sito web ha un URL nel suo sito protetto da un token:
<a href="http://example.com/mypage.TOKEN=1234"> somelink</a>
Il problema che sto affrontando è che il token rimane lo stesso se faccio più richieste. Scade solo (cambia) se viene usato.
Ora sto provando a catturare un numero di gettoni con rutto. Il problema è che se richiedo la stessa pagina con sequencer il token non è cambiato perché non c'è stato un collegamento visitato che usa quel token (il token non è ancora scaduto). Come posso fare in modo che Burp estrae il valore del token e lo usa nella successiva richiesta del sequencer.