访问页面，

从burpsuite 上看到返回的源代码； 验证码生成时通过 createCode 方法生成，在前端页面生成；

同时也是在前端做的校验；

直接验证；F12 -- 网络，随便输入个账号、密码、验证码，发现弹出验证码错误，但是没有发起网络请求；所以可以得知，验证码校验是放在前端的；

直接绕过；前端发起请求，拦截抓包；删除验证码再发送到服务端；

intruder 爆破

爆破成功！