<aside> 💡 Turn on dark 🌒 mode with cmd/ctrl + shift + L

</aside>

DVWA 環境

docker run -d -p 8086:80 vulnerables/web-dvwa

:: Security: Low

基本上可以比較沒負擔的體驗弱點造成的傷害結果和認知到不安全的實作方式，如果要有挑戰可以打 medium，若要參考比較安全的實作方式可以看 impossible 的難度

1. Brute Force

Objective: Your goal is to get the administrator’s password by brute forcing. Bonus points for getting the other four user passwords!

看題目基本上就是要你來硬的 XD

第一個想到的工具是 Hydra or Medusa

觀察及測試

先隨便填寫送出，觀察 Network 後發現不是走 POST

仔細一看表單沒有指定 aciton 的目標，是透過在 URL 的參數來登入

觀察 URL parameters