Брутфорс формы авторизации

Давайте применим метод брутфорса к форме для получения учетных данных. Хотя мы уже знаем учетные данные, давайте посмотрим, сможем ли мы использовать ZAP для получения учетных данных через атаку методом брутфорса.

Если вы делали бы это с помощью BurpSuite, вам бы пришлось перехватить запрос и затем передать его в Hydra. Однако этот процесс гораздо проще с ZAP!

Перейдите на страницу Brute Force на DVWA и попробуйте войти под именем "admin" с паролем "test123".

Затем найдите GET-запрос и откройте меню Fuzz.

Затем выделите пароль, который вы попробовали, и добавьте список слов. Это выбирает область запроса, которую вы хотите заменить другими данными.

Для скорости мы можем использовать fasttrack.txt, который находится в вашем /usr/share/wordlists, если вы используете Kali Linux.

После запуска фаззера отсортируйте вкладку состояния, чтобы сначала отобразить результаты, отраженные. Иногда вы можете получить ложноположительные результаты, но вы можете игнорировать пароли, которые состоят менее чем из 8 символов.