浅谈暴力破解

  关于身份验证，首先想到的可能是暴力破解，但实际上，暴力破解应该是我们没有其他办法后的办法，原因是成功与否与运气有关，搞不好那个程序员安全意识不强，我们用字典简单跑一下就突破了；也有可能有人将用户名或密码设置为一些奇怪的字符串，比如说”！@%￥#8JSJ"什么的，我们用字典跑不出来，这就尴尬了。当然，暴力破解也是我们最为有效且简单的方法，其危害程度大家都是知道的。小编常用的工具就时burpsuite，这里推荐一下。

  虽然暴力破解是我们最后考虑的，但我还是想先讲暴力破解。暴力破解很简单，对于一些网站后台来说，我们可以直接用我们的字典开展集束炸弹攻击，但对于一些看似是帮助管理员的一些错误提示，比如说“用户名错误”，或者是“用户名不存在”，这类将用户名与密码分开提示的错误信息，使用暴力破解是相当方便的，又或者是注册时提示某某用户名已经存在，可以先爆破出用户名，再爆破密码，从而得到了某些工作人员的账号和密码，登入后再利用社工等手段控制整个后台。当然，这是没有任何限制的登陆，实际上，大多数后台登陆都有各种各样的2FA,最常见的就是各种验证码，或者限制用户登陆次数，再或是利用token等等，反正就是让你头大。

  对于2FA，及双因素身份验证，也存在大量漏洞，比如：当你登陆某个网站时，输入用户名和密码后转跳到另一个页面要求输入验证码，这时候你大概率是已经登陆了，但就是需要验证码，输入后才能看见相关类容，这时候，如果我们已经爆破出用户名和密码，这时候我们只需要复制我们自己登陆时输入验证码的页面的URL，粘贴到搜索栏，然后修改相关参数，比如“id”，我们即可顺利绕过验证码，当然，这种漏洞并不多。其实，一部分验证码也可以暴力破解，先将验证码发送到自己的手机，看看验证码有几位，已经有效期，然后就开始相关工作。对于某些密码重置，我们甚至可以直接抓包修改相关参数以修改他人密码（不要觉得这不可能，只是在现在，这种漏洞很少了）。当然，也有一些程序员粗心大意，使得相关信息泄露在网页原码中，又或者是有些验证码可以同时发送给两个电话号码，又或者是直接使用前端验证码直接被删除等等，这些都是简单的。

  暴力破解是很费时的，想象一下，如果我们有100个需要测试的用户名，100个需要测试的密码，那就要10000次，就算是500ms请求10个，也得8分多钟了，这还只是100个，如果更多呢，这是很困难的，除了看响应长度之外，我们必须会看一些其他的选项。其实有些返回的错误信息时存在微小差异的，比如说多一个点，或者是多一个空格什么的，都是我们应该注意的。又或是我们可以先单独爆破用户名，将密码故意输得很长，因为有时正确的用户名验证后还要验证密码，所花的响应时间会更长，而错误的用户名并不需要验证密码，观察响应时间挑选出可能正确的用户名，再进行密码爆破，可以大大的节省时间。

  好了，我们只是浅谈，对于突破ip封锁等等问题我们还没开始谈论，我也还是个愣头青，还请各位多多指教😋