暴力破解测试-业务安全测试实操(1)

业务安全测试实践模版理论指导_luozhonghua2000的博客-CSDN博客

 测试原理和方法

暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试，针对账号或密码进行逐一比较，直到找出正确的账号与密码。
般分为以下三种情况:
在已知账号的情况下，加载密码字典针对密码进行穷举测试:在未知账号的情况下，加载账号字典，并结合密码字典进行穷举测试:在未知账号和密码的情况下，利用账号字典和密码字典进行穷举测试 

  测试过程

使用手工或工具对系统登录认证的账号及密码进行穷举访问测试，根据系统返回的数据信息来判别账号及密码是否正确。测试流程如图 所示。
步骤一:对浏览器进行HTTP代理配置，将浏览器访问请求指向Burp Suite工具默认的监听端口 (这里以火狐浏览器为例)。

 (1) 打开火狐浏览器，在页面中单击右上角的“打开菜单”按钮，然后在下拉框中单击“选项”按钮进入火狐浏览器选项页面，如图 所示。

(2)在火狐浏览器选项页面中单击“高级”按钮，