暴力破解漏洞及验证码漏洞

暴力破解漏洞：

对暴力破解的理解：暴力破解=连续性的尝试+字典+自动化。
其实就是去猜可能的密码，经过不断的试账号和密码，找出正确的账号密码，达到暴力破解的目的。
最重要的部分就是字典，一个好的字典可以大大加快破解速度。（社工字典+弱口令）

burpsuite账号密码暴力破解：

1、把登录请求数据包发送到Intruder模块中

2、将原始数据包中的变量清除，选中用户名和密码点击Add$将其设置为变量。并选择对应模式：

• Sniper模式逻辑：先将第一个变量也就是用户名替换，第二个变量不动。当第一个变量替换完之后，对第二个变量进行依次替换。直白一点就是说一个变，另外一个不变，第一个变完，变第二个。
• Battering ram模式逻辑：所有变量进行同时同样的替换。就是说你变我也变，你变什么我也变什么。
• Pitchfork模式逻辑：所有变量同时替换，但是各自变量替换各自的字典，同时进行，但是互不相干。替换时第一个变量的第一替换值对应第二个变量的第一个替换值，不进行排列组合，就是1对1，2对2。不会将密码进行随机的排列组合。
• Cluster bomb模式逻辑：与Pitchfork模式逻辑类似，不同点是Cluster bomb模式会进行随机的排列组合。

3、在payload页面选择字典

4、在optition页面可选择grep-match来筛选正确密码

同理在修改密码等功能点时的短信验证码可以一样爆破

防暴力破解的措施总结

• ●设计安全的验证码(安全的流程+复杂而又可用的图形验证码;
• ●对认证错误的提交进行计数并给出限制,比如连续5次密码错误,锁定2小时

验证码漏洞：

简介：

验证码的作用是区别人与机器行为以防止攻击者对某一场景使用暴力破解等攻击。现在常见的验证码有图形验证码，短信验证码，行为式验证码等

验证码漏洞检测：

通用验证码缺陷：

前端验证码验证：

验证码的验证是前端js代码，鸟用没有，直接repearter到bp就绕过了，因为到了bp就不经过前端

后端验证码超时复用：

直接把数据表发到intruder进行爆破就行

验证码泄露：

有时会出现验证码泄露在cookie中或者数据包中

验证码可绕过：

有些验证码的校验是看响应数据包的res值来校验。如0为验证码正确，1为错误，这种情况修改响应数据包的res值即可；也有情况直接删除cookie或者验证码参数就能绕过。

验证码暴力破解：

如果验证码设计简单且没有对发送验证码次数进行限制即可进行暴力破解

图片验证码：

如果图片验证码设计过于简单还可以利用工具进行识别。

如果在登录账号密码的地方可以识别图片验证码就可以进行账号密码的爆破

短信验证码相关漏洞：

短信轰炸：

重放或多线程

任意用户注册：

错误手机号也能注册没把账号和手机号绑定

绕过token

有些网站会用token 进行验证，但往往token 会在前端泄露，用bp的功能截取每次不同的token进行爆破即可，参考文章：token能否防暴力破解 - ccddddddddd - 博客园 (cnblogs.com)