初步熟悉掌握使用burpsuit(作业)

burpsuite暴力破解
burpsuite是黑客攻击网站的工具集成软件。最为简单的就是对账号密码的暴力破解,burpsuite暴力破解功能分为四类(1)狙击手(sniper) (2)破城锤(Brttering ram)(3)音叉(Pitchfork)(4)集束炸弹(Clusterbomb),其中最为常用的是狙击手和集束炸弹,狙击手是已知账号密码其中一个,对另一个进行准确的暴力破解。集束炸弹是在账号密码均未知的情况下,对他们同时进行暴力破解,也就是所谓的由几种搭配方式,就给你是多少遍。当时我出于好奇,使用了一个庞大的账号库和一个庞大的密码库进行集束炸弹的攻击,结果发现根本就不可能在短时间内实现破解,搭配种类实在是太多。所以,除非特定情况下,我们一般都是先知道目标账号,使用狙击手对其密码进行暴力破解。

关于验证码的绕过
burpsuite重发器可以实现对数据包申请提交数据之后,获取返还的信息,也就是说,当你重发数据之后,查看其前端代码返还的信息,就可以清楚地知道其验证码是否有效或者是否会过期,来确定能否对其进行暴力破解。

有关账号密码库
burpsuite暴力破解一般需要账号库与密码库才能更有效的进行。那么如何设置账号密码库呢,账号密码库一般为txt文本根式,每一个密码需要换行,(notice:密码后面不能有空格,因为burpsuite会将其视为密码的一部分),账号密码库的路径必须为英文路径,否者无效。

你可能感兴趣的:(作业)