05 - Username enumeration via response timing

Lo que hacer es iterar sobre la cabecera de spoofeo de IP X-Forwarded-For a la vez que iteras sobre el usuario, hay que poner una contraseña muy larga para asegurarse de que al servidor le cueste responder cuando vea que el usuario es válido.