风险
在不知道用户的账号和密码的情况下,通过自动化工具或者强大的字典去进行连续性尝试,去碰撞出一些有效的账号密码,一般用来破解后台管理系统的登录。
medium
将DVWA的级别调为Medium后,进入Brute Force
输入一个账号与密码,使用burp进行抓包
右击发送到 intruder模块,将账号与密码设为变量,爆破模式选为Cluster bomb
在 Payloads 中,Payload set 选择使用 Simple list ,将用户字典和密码字典分别添加进去
开始爆破
admin/password登陆成功