2.將請求參數的賬號與密碼部分設置為payload位置。如下:
3.在D盤下放置兩個txt字典,有兩個,壹個是user.txt, 壹個是passwd.txt,然後裏面的內容是如下:
4.設置導入:第2個字段同理。
5.設置flag,如下: (因為錯誤提示Username and/or password incorrect.),所以字符設置為incorrect。
1、驗證碼放在前端:
壹般會在用戶登錄頁面放置驗證碼,來防止攻擊者自動化腳本攻擊。但是如果驗證碼判斷的邏輯是在前端JS,那麽這也是可以被繞過的。因為如果用burpsuite捕獲到請求,偽造後進行重發包,那麽驗證碼就沒作用。
2、後端驗證碼:可能會出現驗證碼錯誤,但用戶名密碼正確,所以登錄了,那麽這邏輯也是有問題的。
3、加token的認證:如果token是在前端用戶還沒有進行認證的情況下,直接返回給前端,比如在壹個<input type='hidden'>的標簽裏,那麽這個token只要被獲取到,就可以被利用,直接獲取到重發包。
1、設置密碼用戶名的限制,比如長度必須在8位以上,字母加特殊字符與數字的組合等
2、要有驗證碼,但驗證碼要寫在後臺,邏輯要正確,且不能被猜測
3、要有錯誤限制,比如連續登錄5次密碼錯誤,賬號就應該被鎖定5分鐘這樣的