网上有不少社工网站，公布了曾经泄露过的用户名密码。于是，有不少人把这些数据收集起来，整理到字典库中，作为撞库的依据，以便进行暴力破解。

自从用了 Mac 之后，就不太用 Fiddler 了；Mac 版的 Fiddler 不好用，我又不想装 Windows 虚拟机。抓包嘛，工具何其多，有 Firefox 的插件 Tamper data，有 Charles，还有 Burp Suite 。毕竟 Tamper data 只是个插件，web 页面上的小打小闹还行；Charles 界面简洁，上手快，但搞个上万次的撞库试验，还是不顺手；所以它俩跟 Burp Suite 比起来，我还是喜欢玩 Burp Suite 。

我现在用的版本是 1.6.27 。以下是 web 页面“撞库”操作的细节。

1. 设置待测的目标网页 [Targe]-[Scope]

2. 设置代理 [Proxy]-[Options] "Proxy Listeners", 比如 127.0.0.1:8080；确保 [Proxy]-[Intercept] 是 “Intercept is on”的状态

3. 设置浏览器代理，确保与第二步代理一致

4. 用浏览器访问目标网页，由于走了代理，被 Burp Suite 截包了，页面一直在 waiting

5. 点击  [Proxy]-[Intercept] 中的按钮，确保是“Intercept is off”，浏览器页面就展现出来了

6. 在 [Proxy]-[HTTP history] 中能看到很多请求，选择需要做撞库测试的请求，右键 "Send to Intruder", 就跳转到 Intruder 标签页了

7. 把 [Intruder]-[Positions]/[Payloads] 设置好，就可以 "Start attack"

8. 如图，可以看到每次的 Request/Response

这里有个常识需要了解：即便目标网站配置了 HSTS，可以在 chrome 下通过 chrome://net-internals/#hsts 规避，以达到抓包目的；而不是简单地“添加例外”来走代理抓包。