Web安全技术 实验2 暴力破解

基于表单的暴力破解：

选择攻击种类

 

配置密码文件

 

只有gao，gao长度不同，所以为用户名和密码。且正确。

 

验证码绕过(on client)：

首先抓包拦截

验证码验证在前端进行。

送到repeater中，发现后台没有进行检验。

开始进行暴力破解。

发现账号密码为：gao gao

 

验证码绕过(on client)：

说明后台有进行验证。

都进行了用户验证，说明可以重复使用该验证码。

接下来进行暴力破解。

得到用户和密码。