在web安全测试中。我们通常会采用暴力破解的手段登录网站后台。但是很多的站点支持验证码，所以常规的暴力破解已经无法使用。哪么怎样暴力破解含有验证码的站点呢？

分析请求数据

接下来，我们先在burp中抓包分析，当输入账号和密码等信息后，请求数据是怎样的。从提交后，我们发现了下面信息token__=0f9eac190dbfa3afbd13223195f5ccec&username=admin&password=123456&captcha=dvm5有username(用户名)password(密码)captcha（验证码）这三个重要的字段组成。

关于Pkav HTTP Fuzzer

Pkav HTTP Fuzzer是一款经典验证码暴力破解工具。接下来我们来看看如何使用。首先运行后效果如下：

接下来，将burpsuite抓取的数据包中全部的请求内容复制到Pkav HTTP Fuzzer工具中接下来，我们需要复制图形验证码的地址，到分析地址栏中。点击下方的验证码识别，输入验证码地址。根据自己的实际情况进行简单的调整。使识别率最高就行。

添加标记

这里和burp中破解是一个道理，我们需要对用户名、密码、验证码添加标记。接下来，我们给标记添加外部字典就行了。

点击发包器破解

接下来，我们点击发包器，启动破解进程。

总结

• 经测试，对纯数字验证码的识别率最高，字母和数字组合较低。

• 给验证码添加背景干扰后，识别率大大降低。

• 对于网站开发者或站长来说，建议开启验证码的难度。防止暴力破解过程中，对验证码的识别。

• 工具获取，后台回复验证码获取。