使用burp suite暴力破解DVWA中带有token值的brup force的登录界面

1.将DVWA的安全等级设置为hight：

2.爆破带有token的表单（事先经过验证，用户名是admin，密码是password）：

3.抓取数据包，发送到intruder模块中，测试用户名正确的情况（只爆破密码便于测试），Attack type选择Pitchfork。将passwod和user_token设置攻击位置（attack position）：

4.在payload中加载爆破数据，1选择simple list ，添加password密码字典，payload2选择Recursive grep，在option中将request engine中threads设置为1，在Grep-Extract点add添加规则

5.always要选上了，不然只有一个初始的token

6.点击refetch response可以请求页面：如果是302就需要重做了

7.返回payload里添加初始token后，点击右上角的start attack开始爆破

破解成功了!