p/pm - passwords per minute

ну тогда все ясно)

ну типичная ошибка, у вас идет валидация по строчке invalid username

Даже по скрину как я понял, видно, хотя не столь важен конкретный пример.

Допустим движки ipb/vbulletin форумов если взять, дефолтно в конфигах выставлено 5 попыток пароль выести на 1 логин в течении 30-60 минут. И все 4 первые будь да что-то вроде неверный пароль осталось Х попыток. Но при пятой не удачной эта строчка заменяется на "пользовтель заблокирован на ХХ минут"

Ну это понятно и валенку, суть в том что, обычно в подоьных системах как у вас, да тот же pma, может вообще грубо говоря вернуть ответ пустой, может быть там waf стоять кооторый будет фильтровать попытки как это реализовано довольно часто в ftp/ssh

Элементарно говоря, конечно все куда замудренней и зависит зачастую от ситуации.

В конкретном случае с gpon, посмотрите сорс странички (ctrl+u)

явным "валидатором" будет строчка

в случае авторизации предпологаю значение сменится на '1'

var XHasLogin = '0';

Добавьте еще -vV, по логу будет ясна ошибка, в случае если он все еще будет присутсвовать

вместо invalid user, мануал глянул бегло, вроде как в гидре это делаетьсч так

:S=XHasLogin = '1';

где :S= последняя опция указывающая на то, что если Source страницы содержит текст после "=", такая автортзация удачна.

p.s. не забываем экранировать пробелы и ковычки в зависимоти от ОС и требованиям гидры. если просто так добавить, бось гидра это прочтет не как строчку haslogin а как праметр со значением '1'.

Хз, может вообще нельзя ковычки использовать как текст, я один раз в жизни гидру эту открывал, и славу богу что последний) Ну вообщем либо другую строчку, но invalid username только когда 100% всегда один ответ при не удачной попытке

но в иделае по хедерам фильтровать, во первых это быстрее, не надо тянуть сорс, во вторых это уневерсально, в RFC расписаны стандарты ответов, под все случая так скажем. 100-200 коды - успех, до 399 педиректы, остальное либо fail либо ошибки сети.

но впрочем это уже точно не под гидру)