打开burpsuit,打开bp抓包拦截响应包
打开dvwa靶场
抓包发送到intruder模块
先点击clear全部清除,然后自己添加需要爆破的字段内容
设置payload ——》 simple-list ——》 start attack
点击length 长度不同的就是爆破结果
攻击模式
sniper ——狙击手
battering ram —— 攻城锤
Pitchfork ——草叉
Cluster bomb —— 集束炸弹
防御
🔲 网站:
● 禁止密码明文传输和存储
● 限制错误次数,锁定用户
● 限制密码尝试问题
● 二次验证 —— 》 图片验证码 短信验证 客户端扫码 人脸识别
● 锁定ip,禁止访问 ——> WAF IDS/IPS
🔲 用户
● 密码尽量复杂
● 不同的网站使用不同的密码
● 定期修改密码
● 上网检查域名,防止被钓鱼
