拿DVWA舉例子。環境百度自行搭建。
開啟burpsuite 選擇temporary project(臨時工程)
選擇默認配置進入后,訪問127.0.0.1:8080
安裝證書
將這個intercept 關掉 顯示 intercept is off 即可
進入網站后,輸入用戶名和密碼,密碼隨意填寫
此時再打開Interept
點login后會發現界面不再顯示,包已經被burpsuite攔下了。
選擇intruder
重點!!!盡量選擇重定向跟蹤,否則有的時候回應會相同,干擾我們判斷。
這幾個回應的差異比較大。可見密碼可能是password
成功登錄。