# Broken brute-force protection, IP block * Ở bài lab này, chúng ta sẽ tiếp tục brute-force username và password và lần này chúng ta vẫn sẽ bị block nếu đăng nhập sai nhiều lần. Tuy nhiên lần này trang web không hỗ trợ `X-Forwarded-For` header nữa.  * Trước tiên đăng nhập bằng account được cấp `wiener:peter` để lấy được request `POST /login`. Gửi request đó tới Burp Intruder. Lần này ta chọn loại tấn công là Pitchfork để đưa một cặp payload tương ứng với nhau mỗi lần. Đặt 2 vị trí payload lần lượt ở username và password.  * Cách bypass lần này cũng không phức tạp. Chúng ta bị block nếu nhập sai nhiều lần. Vậy chúng ta chỉ cần nhập xen kẽ các lần đăng nhập đúng vào các lần ta brute-force. Ở đây ta dùng account `wiener:peter` để xen kẽ giữa các lần tấn công.   * Ở tab Resource pool, ta giới hạn số request là 1 để tránh gửi cùng lúc quá nhiều request thì chúng ta sẽ bị block.  * Kết quả trả về, ta tìm được account `carlos:7777777`  * Dùng Burp Repeater để đăng nhập.  * Hoàn thành bài lab.