Bazı şirketlerin kullanıcılarının bilgileri dışarı sızmış olabilir. Eğer elimizde böyle bir liste varsa burp suite ile bunu deneyebiliriz. Ancak denerken password denemesini çok fazla yapmak maillerin kilitlenmesine ve servisin kısa süre için kullanılmaz olmasına sebep olabilir. Bu yüzden bunu pasword policy violate etmeden yapmamız gerekiyor. Burp suite ile foxy proxy ayarladıktan sonra hedef siteye gidip login bölümüne test requesti atabiliriz. Requesti intercept’de gördükten sonra intruder’a göndeririz. Daha sonra username olan kısmı seçip add diyoruz ve password diyen kısmı add diyoruz. Daha sonra payloads kısmında birinci payload’a emailleri kopyalayıp paste diyoruz ikinci payloada da şifreleri paste diyeceğiz. Eğer her response’da aşağı yukarı aynı uzunluk geliyorsa çalışmıyor demektir. Responseların raw halinden ortak bir cevap bulup onu options kısmında grepe ekleyebiliriz. Böylece her requestimizin sonucunda o ortak bulunamadı gibi bir yazının çıkıp çıkmadığını kontrol etme imkanımız olur.