BURPSUITE爆破密码

拿DVWA举例子。环境百度自行搭建。

开启burpsuite 选择temporary project(临时工程)

选择默认配置进入后，访问127.0.0.1:8080

安装证书

将这个intercept 关掉 显示 intercept is off 即可

进入网站后，输入用户名和密码，密码随意填写

此时再打开Interept

点login后会发现界面不再显示，包已经被burpsuite拦下了。

选择intruder

重点！！！尽量选择重定向跟踪，否则有的时候回应会相同，干扰我们判断。

这几个回应的差异比较大。可见密码可能是password

成功登录。