OWASP ZAP破解网站登录页范例

  1. 下载安装OWASP ZAP 2.7.0(需要提前安装好jdk)
  2. 打开OWASP ZAP,点击菜单栏的工具——设置代理——默认值确定即可
  3. 打开右上角的浏览器,访问我们需要破解的站点登录页,并输入随意的用户名和密码提交
  4. 查看OWASP ZAP的站点框,右键post的登录请求——攻击——fuzzer
  5. 在fuzzer对话窗中,双击“password=”右侧的“123456”,然后窗口右侧单击Add按钮,弹出框再选择Add按钮,然后类型选择文件,然后选择我们准备好的password口令字典,然后添加——ok——选择右下角的start Fuzzer,开始暴力破解登录页
  6. 最后查看破解结果,明显zabbix是正确的口令(zabbix本身有安全策略,登录失败过多,会锁定账户一定时间,本范例只提供思路方法)

You may also like...

发表评论