一 什么是暴力破解
连续性尝试+字典+自动化
有效的字典包括
1 常用的账号密码
2 脱裤的账号密码和撞库
3 使用工具将指定的字符进行排列组合生成的密码
二 暴力破解漏洞
网站没有对登录接口实施防爆力破解的措施
三 proxy
将请求和网站连接并操作
将proxy当作浏览器代理
使用proxy相当于抓包
intercept is on 抓包
forward 放包
四 intruder
1 用法
2 修改变量
clean 清理变量
add 改变变量为动态变量
3 攻击类型
常用 焦束炸弹 尝试多
4 option中get match
通过flag来找到正确账号密码
5看长度也可以找到正确账号密码
如下
看 length username
正确的和错误的差异
四 验证码绕过
1 什么是验证码
2 on client--不安全验证码绕过(验证码在客户端)
验证码相当于没有,因为只在前端代码中,没有后端处理,直接跳过暴力破解账号密码就OK
3 on server(验证码在服务器端端)
验证码不会过期
直接暴力破解。
验证码就直接用正确的
五 token
扫一扫
1244
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
