[PortSwiggerのWeb Security Academy靶场] Authentication 系列 1st

·  阅读 561

Subject

brute-force

Lab: Username enumeration via response timing


Mind Palace

通过观察发现,并不能直接使用 Intruder 模块的 cluster bomb 来直接暴力破解出账户密码;因为在同一个 IP 多次发送 HTTP-POST 请求后,有一个等待机制

解决方式:X-Forwarded-For 中使用不同的 IP 地址来 bypass

Step 1

制作 payload 文件

Step 2

在 BP 的 Intruder 模块中配置 brute-fore

配置完成点击 Start attck ;完成以后,进行筛选就获得了 username&password


END o(´^`)o

分类:
后端
标签:
分类:
后端
标签:
收藏成功!
已添加到「」, 点击更改