2.將請求參數的帳號和密碼部分設置為有效負載位置。如下所示:
3.在D盤下放兩個txt字典,壹個是user.txt,壹個是passwd.txt,然後內容如下:
4.Set Import:第二個字段也是如此。
5.按如下方式設置標誌:(因為用戶名和/或密碼不正確。),字符被設置為不正確。
1,驗證碼在前面:
壹般來說,驗證碼會放在用戶登錄頁面,防止攻擊者自動腳本攻擊。但是如果驗證碼判斷的邏輯在前端JS,那麽這個也可以繞過。因為如果請求被burpsuite捕獲,偽造後重新發布,那麽驗證碼就沒有任何作用了。
2.後端驗證碼:可能有驗證碼錯誤,但是用戶名和密碼是正確的,所以妳登錄了,所以這個邏輯也是有問題的。
3.使用令牌進行身份驗證:如果令牌未經身份驗證就直接返回給前端用戶,例如,在
1.設置密碼用戶名的限制,如長度必須超過8位,字母和特殊字符以及數字的組合等。
2,必須要有驗證碼,但是驗證碼要寫在後臺,邏輯要正確,不能猜。
3、壹定要有錯誤限制,比如連續5次登錄密碼錯誤,賬號要鎖定5分鐘。