暴力破解漏洞

1.c/s架构暴力破解

1.1 c/s架构暴力破解前提条件

知道目标地址,端口,协议,无后端验证、用户名字典、密码字典

1.2  c/s架构暴力破解工具

hydra、bruter、medusa爆破

2.b/s架构暴力破解

2.1  无验证码绕过

不带验证码无测试次数的直接使用burpsuite进行爆破。

2.2 前端验证码绕过

带验证码的如果是前端弹窗报错(抓包删除验证码任然能发送成功),可以禁用js绕过进行爆破也可以直接使用burpsuite进行爆破。

2.3 后端验证码绕过

F12获取验证码地址后,也可通过网页进行验证

工具Pkav HTTP Fuzzer使用

爆破成功

复杂验证码可用burp中的插件captcha-killer识别

3.  带token的暴力破解

3.1  页面直接返回token值

抓包,添加变量,使用音叉(两者同时变,一一对应)

密码【添加一个文件即可】

token【选中有效负载集2后,在选项中过滤token】

测试器--选项

攻击成功

3.2  页面请求后不会直接返回token值,而是跳转第二次才会返回token值

会导致burp获取token值显示没有

需要在重定向中选择总是,剩下操作和前面一致

显示成功

4.使用百度ocr识别验证码

复制ocr(识别图片里的文字信息)识别码的请求包

粘贴ocr请求包,选择百度ocr

获取token值

保存模板后开始爆破,爆破成功

5.暴力破解防御

(1)增加复杂点的验证码(滑动解锁、图文识别)

(2)增加密码连续3次错误,直接锁定登录+时间,无法频繁登录

(3)要求用户设置复杂密码(大小写+特殊字符+数字+至少8位),否则密码设置失败

(4)要求用户半年修改一次密码

  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值