使用Burp Suite
使用Burp Suite对登录页面进行字典攻击
一旦获得了目标应用程序的有效用户名列表,就可以尝试爆破攻击,爆破攻击过程中会尝试密码所有可能的字符组合,直到找到有效的密码。
考虑到大量的字符组合以及客户端和服务器之间的响应时间,因此暴力攻击在Web应用程序中是不可行的。
一个更现实的解决方案是字典攻击,它采用一个简化的高可能性密码列表,并使用有效的用户名进行尝试。 在本文中,将使用BurpSuite
Intruder尝试对登录页面进行字典攻击。将使用WackoPicko admin section login来进行此次攻击实验:
1. 开启OWASP BVWA靶场或者使用phpVstudy搭建dvwa靶场
可参照我该篇作品搭建: https://blog.csdn.net/xiaoma920/article/details/130915003?spm=1001.2014.3001.5502
2. 在kali linux中开启Burp Suite
这个实验可以使用kali linux中的Burp Suite Community版本来做,也可以使用windows 10系统下的Burp Suite Professional来做。
3. 打开Burp Suite设置代理
(1)将burpsuite设置为代理工作模式
(2)配置FireFox浏览器使用burpsuite代理
右上角设置滑动到最下方