弱口令是安全问题里面最为严重的问题之一。可以进行暴力破解的也是有条件限制的。 1. 没有验证码，有验证码就不好进行有效的暴力破解。 2. 没有多次登录失败后，禁止登录的机制 3. 没有禁止同IP多次尝试登录。等等。

一、启动本地代理。

注意：本地代理设置的端口和Burp Suite代理设置的端口要一致，否则无法截到数据包。

二、截包

提交的时候截包，会在Burp Suite拦截到，我们把它发送到intruder中。

三、设置参数

Burpsuite会自动设置许多变量，单击“Clear”按钮，把默认变量全部清除，然后分别选中用户名和密码，单击“Add”按钮将之设为需要破解的变量。
四、上传字典 字典可以用密码生成器去生成，下载地址。

五、启动扫描

扫描结束以后，查看结果。查看结果的方法一般是看返回包的大小。排序一下，不同的包的大小点进去看看，例如我最后的扫描结果：
爆破完毕！