So che è possibile utilizzare uno strumento come Burp per testare i valori di Cookie / post / get, ma è possibile utilizzare tale strumento per eseguire un attacco di forza bruta / dizionario (test fuzzy) sui valori dopo il simbolo #.
So che i valori dopo il # in un URL non vengono inviati al server. Sono interpretati solo dal browser. Ciò rende più difficile l'uso di strumenti come Burp.