Así que estoy usando Burp para intentar estimar la entropía utilizada por los tokens para evitar el CSRF.
Digamos que un sitio web tiene una url en su sitio protegido por un token:
<a href="http://example.com/mypage.TOKEN=1234"> somelink</a>
El problema al que me estoy enfrentando es que el token sigue siendo el mismo si hago varias solicitudes. Solo expira (cambia) si se usa.
Ahora estoy tratando de capturar un número de fichas con eructar. El problema es que si solicito la misma página con secuenciador, el token no ha cambiado porque no se ha visitado un enlace que use ese token (el token aún no ha caducado). ¿Cómo puedo hacer que Burp extraiga el valor del token y lo use en su próxima solicitud de secuenciador?