DVWA--BruteForce

Low等级

用burpsuit抓包，然后发送到intruder 模块

选择字典进行攻击

按长度排序，得到用户名/密码为admin/password

Medium等级

**速度明显变慢

查看源码，发现每次登录失败会休眠2秒，增加了**的时间成本

High等级

抓包发现每次登录的user_token是动态变化的

下一次的user_token会在上一次的响应包中返回给浏览器

1.使用脚本进行攻击
访问页面——获得user_token——发送带有user_token的请求包


2.使用burpsuit**
定义burpsuite规则同时配置宏动作，用于user_token自动提取和填充



使用burpsuite进行暴力**


查看源码，发现每次请求都会检查随机参数token的正确性，并且登陆失败时，会休眠0-3秒再返回结果，在一定程度上增加了**攻击的难度和时间成本

Impossible等级

查看源码发现，登录失败三次，锁定15分钟，有效防止了暴力**