实验室：破碎的暴力保护，每个请求的多凭证

1. 使用Burp运行，调查登录页面。请注意发布/登录请求提交登录凭据杰森格式。将此请求发送到Burp Repeater。

2. 在Burp Repeater中，用包含所有候选密码的字符串替换密码的单个字符串值。例如：

   “用户名”：“Carlos”，“密码”：[“123456”，“密码”，“QWERTY”......]
3. 发送请求。这将返回302次响应。
4. 右键单击此请求并选择在浏览器中显示响应。复制URL并将其加载到浏览器中。页面加载和您已登录为卡洛斯。
5. 点击我的账户访问Carlos的帐户页面并解决实验室。

Michael Sommer