Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |CSDN秋说】
本篇讲解如何将BurpSuite爆破所得结果进行二次利用。
使用场景
1、假定某网站特性:无论密码是否正确,都会判断用户名是否存在,如果存在则回显密码错误或直接登录;如果用户名不存在则回显用户不存在。故可通过爆破模块,提取存在的用户名,再进行密码的爆破
2、爆破邮件地址并提取,再进行进一步操作。
操作说明
假定以下100个payload中,有20个payload能成功登录,登录成功的响应包含有success
关键字,登录失败的响应包含有error
关键字:
如果我们想要将能够登录成功的所有用户名payload都保存起来,可以先对条目进行过滤(