安全测试--暴力破解

最新推荐文章于 2024-05-13 17:30:00 发布
最新推荐文章于 2024-05-13 17:30:00 发布
阅读量501 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qton_CSDN/article/details/79347110
版权

1.打开burp suite

2.浏览器打开要暴力破解的登录界面

3.设置浏览器,burp suite 代理

chrome浏览器:设置--高级--找到代理--局域网设置--设置为如下 确定。

burp suite设置代理:如下勾选刚才浏览器设置的代理

 

4.浏览器登录界面尝试输入账号,密码,点击登录,http://210.38.192.31:81/test.aspx

5.此时页面不会跳转,到burp suite---proxy--HTTP history 查看参数

6.当前页面右键--send to intruder,到intruder页面查看详细参数

清除掉自动加的$---Clear $,再加上需要暴力破解的账号或密码,上面的attrack type是设置攻击类型,默认为最简单的单独去尝试,有其它复杂一点的方式建议看 http://blog.csdn.net/qq_29277155/article/details/52742674 

7.选中你要进行破解的输入框(账号/密码/验证码)点击右上的 Add $

8.设置好后点击右边 payloads 进行参数设置

下拉还有加上md5,大写,小写之类的可以根据需要自行选择设置。

9.都好后点击右上的 start attack

查看攻击结果

10.右边的Options可以进行设置返回参数为什么是算是成功/失败等更为详细的设置

Qton
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新Web渗透测试——密码暴力破解工具的使用!看完你怕了吗?
程序员小濠
05-10 1734
 大家好!今天我们讲暴力破解,有人可能会有疑惑,密码到底设置得多复杂才算是安全,其实这就像是问,是先有的鸡还是先有的蛋,都是没有确切的答案的,理论上说无论你密码设置的多么复杂,都有可能被破解,这主要看的就是密码字典的大小,我曾经见到过一个28G的密码字典,如果再配合上暴力破解工具,我想密码破解只是时间的问题吧。    因此今天我们不讲如何设置密码,我们就讲讲这些暴力破解工具的使用,以便我们理解暴力破解的原理,进而制定更加安全合理的防暴力破解的策略,下面我们言归正传。   Hydra   hy..
万能网站密码爆破测试工具,太强了 !
m0_60571990的博客
12-15 2484
万能网站密码爆破测试工具,太强了 !
渗透测试-暴力破解之hydra
lza20001103的博客
04-18 4233
渗透测试-暴力破解之hydra
网络安全之暴力破解
最新发布
Z4400840的博客
05-13 1193
暴力破解也称为字典攻击,通常被用于攻击网站的用户账户名/密码。使用自动化脚本以枚举的方式尝试所有可能的用户名或密码组合。通过攻击用户的账户名和密码,窃取用户个人信息或获取网站管理权限等。暴力破解也被称为枚举测试、穷举法测试,就是将每个可能的结果逐个比较,直到找出正确的结果为止。①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题解析。
android应用 暴力测试,Android 关于Monkey暴力测试
weixin_42397335的博客
05-26 654
现在的好多应用市场上架之前都有经过Monkey的暴力测试,我们作为android的开发人员最后上线前再给测试人员测试的时候最好也要进行一下Monkey压力测试.废话不多说,今天就讲一下如何进行测试:1.首先要安装ADB请参考 :adb 安装说明查看adb 是否安装成功 可以在 cmd 下的Docs窗口 输入 adb shell monkey -help 下查看查看ADB的命令行2.首先将App安装...
2-1暴力破解原理和测试流程
山兔的博客
04-09 1558
本文章的主题是暴力破解漏洞,我们来看一下这章将讲述什么内容  暴力破解攻击&暴力破解漏洞概述  暴力破解漏洞测试流程 一定是站在安全测试的角度,如何去确认我们的目标系统存在破解漏洞的  基于表单的暴力破解攻击(基于burp suite)  暴力破解之不安全的验证码分析 ---on client ---on server 因为在我们的实际环境当中,很多时候,我们会用验证码来做防暴力破解的措施,由于有时候,我们采用了不太安全的设计,而导致我们的验证码形同需设  Token可以防
暴力破解软件-hydra
02-22
暴力破解软件-hydra
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料
01-30
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料:2个版本,共...07.暴力破解 08.文件上传漏洞 09.命令执行漏洞 10.文件包含漏洞 11.社会工程学 12.ARP欺骗 13.xss跨站脚本漏洞 14.CSRF跨站请求伪造 15.SSRF
burpsuite安全测试工具
04-05
Burp Suite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。 通过拦截HTTP/HTTPS的...
皮卡丘暴力破解.docx
04-13
皮卡丘暴力破解,基于表单的暴力破解,验证码绕过,token防爆破, burp suit抓包
web安全-dvwa实战手
07-05
DVWA部署暴力破解:介绍如何使用DVWA模拟暴力破解攻击,即通过尝试大量的用户名和密码组合来尝试登录系统,以测试系统的弱点和防护措施。 2。CSRF(跨站请求伪造):解释CSRF攻击是如何通过伪装用户合法请求来执行未...
JMeter暴力破解账户密码
02-01 2677
小编软件测试刚入行二个月 为了前途 前几天看了下有关验证码找回密码的安全漏洞的文章,于是做了以下有关暴力破解验证码的总结 周所周知,所谓暴力破解,也就是我们所说的穷举法 如何对验证码进行暴力破解  无非就是对所有可能的数据进行校验,当然实在太多的数据 可以用多线程 或者高配置电脑来解决,但是对于一些复杂的验证码,我感觉你还是放弃得了,毕竟我们还不是黑客 没达到那种水平 本篇博客所描述的
Medusa(美杜莎)和Hydra(九头蛇)快速入门手册:02
whatday的专栏
11-15 6158
本文是Medusa和Hydra快速入门手册的第二部分,第一部分的传送门这两篇也是后续爆破篇的一部分,至于字典,放在最后,后续会把祖传的几十G字典准备好 Hydra入门使用手册 vanHauser TheHackersChoice http://www.thc.org/thc-hydra 目录 0×00什么是Hydra? 0x01Hydra-GTK 0×02如何安装 0×03...
十大最受欢迎的密码破解工具
热门推荐
远有青山
04-13 4万+
1. Brutus Brutus是一个最流行的远程在线密码破解工具。它号称是最快和最灵活的密码破解工具。此工具是免费的,只可用于 Windows 系统。早在 2000 年 10 月发布了它。 它 支持 HTTP 基本身份验证、 HTTP (HTML FORM/CGI)、 POP3、 FTP、 SMB、 Telnet 和 IMAP、 NNTP、 NetBus 等其他类型。您还可以创建您自己的
暴力破解攻击
qq_41453632的博客
11-23 5996
常见攻击流程: 暴力破解攻击定义: 暴力破解攻击是指攻击者通过系统的组合所有可能性(例如登录时用的账户名.密码),尝试所有的可能性破解用户的账户名.密码等敏感信息,攻击者会经常使用自动化脚本组合出正确的用户名和密码。 暴力破解攻击常见分类: B/S架构暴力破解包含如下分类:1.登录框(用户名和密码)2.URL参数(用户id值.目录名.参数名等)3.验证码(验证码接收处)4.... C...
Qt简单加密与解密--Base64
weixin_43002236的博客
08-18 5339
文件加密: **待解密文件:file_name 加密后文件:encryption_name** QFile read_file(file_name); if(!read_file.open(QIODevice::ReadOnly)) { return false; } QByteArray encryption_Ar...
华为机试之简单密码
oLengNuanZiZhi12的博客
03-02 396
简单密码1>题目描述2>解法 1>题目描述 密码是我们生活中非常重要的东东,我们的那么一点不能说的秘密就全靠它了。哇哈哈. 接下来渊子要在密码之上再加一套密码,虽然简单但也安全。 假设渊子原来一个BBS上的密码为zvbo9441987,为了方便记忆,他通过一种算法把这个密码变换成YUANzhi1987,这个密码是他的名字和出生年份,怎么忘都忘不了,而且可以明目张胆地放在显眼的地方而不被别人知道真正的密码。 他是这么变换的,大家都知道手机上的字母: 1–1, abc–2, def–3, g
软件安全测试用例-登录
08-05
以下是一些针对登录功能的软件安全测试用例示例: 1. 验证合法用户:使用正确的用户名和密码进行登录,确保系统能够成功验证合法用户的身份,并允许其登录。 2. 验证非法用户:使用错误的用户名和密码进行登录,确保系统能够正确地拒绝非法用户的登录尝试,并给出适当的错误提示。 3. 密码安全性:测试系统对于密码的安全性要求,包括密码长度、复杂性要求(如包含字母、数字和特殊字符等)等。 4. 账号锁定:测试系统在多次登录失败后是否会锁定账号,以防止暴力破解攻击。 5. 弱密码检测:测试系统是否能够检测和阻止使用弱密码(如常见的密码、连续字符等)进行登录。 6.会话管理:测试系统在用户登录后如何管理会话,包括会话超时、注销等功能。 7. 跨站脚本攻击(XSS)防护:测试系统是否对输入的用户名和密码进行适当的转义和过滤,以防止XSS攻击。 8. SQL注入防护:测试系统是否对输入的用户名和密码进行适当的过滤和参数化处理,以防止SQL注入攻击。 9. 强制访问控制:测试系统是否正确地实施访问控制策略,只允许授权用户访问相关资源。 10. 多因素身份验证:测试系统是否支持和正确实施多因素身份验证,如短信验证码、指纹识别等。 以上仅是一些示例,具体的测试用例应该根据具体的系统和安全要求进行定制和扩展。同时,还应该考虑其他安全测试方面,如会话劫持、密码重置功能、安全日志记录等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值