Sto testando un'applicazione web e incontrando i token anti-CSRF all'interno di moduli che ostacolano i tentativi di fuzzing con l'intruso di Burp Suite. Un token anti-CSRF appare come csrf-token all'interno di un meta campo HTML. Alla presentazione di un modulo, lo stesso token è codificato URI e inviato come parametro autenticità-token all'interno del corpo della richiesta POST.
L'applicazione termina la sessione utente se il token non è valido, come accade quando si esegue Intruder poiché il token è monouso come previsto (non per la durata della sessione utente).
Anche se sembra semplice, non sono stato in grado di impostare le seguenti guide:
link
link
Selezionare la richiesta e il token appropriato non sembra fare molto ma testare i risultati della macro in una nuova risposta con un nuovo csrf-token . In particolare, autenticità-token non viene aggiornato tra ogni richiesta e non vi è alcuna prova che le regole di gestione delle sessioni funzionino.
Gradirei una buona guida o assistenza su questo, in quanto non sono sicuro di cosa mi manchi a questo punto.