2、验证码不变,修改用户名和密码,重新发包,发现依旧提示用户名和密码不存在,那就意味着这里存在验证码套用的漏洞。 3、因此,我们可以使用同一个验证码来爆破用户名和密码,爆破成功。 分析: session中的验证码没有被销毁,应该传一次验证一次的。 注意事项: burpsuite发送到Intruder模块爆破就是相当于不断地在重放器...