JMeter暴力破解账户密码

最新推荐文章于 2024-08-15 20:34:25 发布
最新推荐文章于 2024-08-15 20:34:25 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: jmeter 文章标签: jmeter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tester_xjp/article/details/79233924
版权

小编软件测试刚入行二个月

为了前途 前几天看了下有关验证码找回密码的安全漏洞的文章,于是做了以下有关暴力破解验证码的总结

周所周知,所谓暴力破解,也就是我们所说的穷举法

如何对验证码进行暴力破解  无非就是对所有可能的数据进行校验,当然实在太多的数据 可以用多线程 或者高配置电脑来解决,但是对于一些复杂的验证码,我感觉你还是放弃得了,毕竟我们还不是黑客 没达到那种水平

本篇博客所描述的 

仅针对四位数的验证码 并且提交错误数据到服务器 正确的验证码不会失效,也就是平常我们所说的五分钟内失效 也就是说在这五分钟内我们可以尝试着将1000-9999这些数据,全部进行输入提交到服务器进行验证,

好了 了解了相关原理 ,现在我来教大家怎么破解,

下面对JMeter的操作需要对JMeter工具有一点基础 没基础的建议先看下基础

使用的工具:JMeter

1.下载JMete压缩包,打开jmeter.bat批处理文件,首先我要说的是,JMeter必须运行在java环境之上,所以在这之前你要配置好java环境

2.新建 -》 线程组/http请求/查看结果树、CSV Data Set Config,关于线程数 开1,然后循环数多少 等于下方你txt文件中数据数

a)然后 在http请求中 将有关接口参数 填写入内,以及服务器对应的ip地址、采取的协议、路径、方法等,如下图(body中 code的值是读取.txt文档中的)

最低0.47元/天 解锁文章
Tester_xjp
关注
专栏目录
burpsuite_1.7.36用户名密码暴力破解工具
10-30
burpsuite用户 用户名密码暴力破解,软件测试与post get请求分析
暴力破解用户名与密码(使用burp或python)
feiniaotjx的博客
09-15 5334
暴力破解用户名与密码 必火网络安全在线靶机 实验地址:基于表单的暴力破解 1.随意输入用户名与密码。 2.用burp抓包。 3.将包发送到intruder,attact type改为cluster bomb,clear清除变量,再用add清除变量,再用add清除变量,再用add添加username和password变量。 4.设置playload,playload类型设为simple list,将用户名字典用load导入,playload set 1为第一个参数,所以再将其设置成2,再导入密码字典 5.
手把手教你接口性能测试之JMeter性能测试篇
最新发布
weixin_67553250的博客
08-15 3186
上面我们简单介绍了Jmeter如何进行接口测试的,下面我们更进一步,在接口功能测试完善的基础上,开展接口的另外一个层面的性能测试工作。在本篇中,我们对JMeter工具作了简单的介绍,且分别从接口测试以及接口并发测试的层面进行了图文介绍。对于接口性能测试方面,应当还涉及到相应的服务器性能监控,以及性能监控时需要观测的性能点,尤其是在开展性能测试之前需要进行性能测试的需求分析、制定测试计划、编写和调试测试脚本、收集测试结果、分析测试数据整合性能测试报告,诸多流程中涉及到很多细节,
jmeter的加密解密方法
LYX_WIN
09-26 1909
/导入json数据解析包,一般需要到网上下载的(百度文件名org.json.jar,这个jar包同样是放在jmeter的lib\ext文件夹内)
账户暴力破解】请问服务器受到账户暴力破解该怎么应对哇?
qq_45801887的博客
02-10 3785
问题 之前在华为云购买了云耀云服务器进行django项目的部署,部署完了写了个博客,然后写博客的时候只把公网IP打码了,我以为私网IP没关系,但是看到被攻击的提示,我把私网IP也打码了,求问大家,是不是根据私网IP也会被暴力破解,这种情况应该怎么应对哇? 截图 ...
2024年全网最全的Jmeter教程:jmeter_BeanShell脚本&通过BeanShell进行加解密方法
m0_70618214的博客
11-20 902
也方便你下次能够快速查找。如有不懂还要咨询下方小卡片,博主也希望和志同道合的测试人员一起学习进步在适当的年龄,选择适当的岗位,尽量去发挥好自己的优势。我的自动化测试开发之路,一路走来都离不每个阶段的计划,因为自己喜欢规划和总结,测试开发视频教程、学习笔记领取传送门!!
测试用例设计1
qq_41963250的博客
04-07 1463
文章目录1. 请你说一说简单用户界面登陆过程都需要做哪些分析2.请对这个系统做出测试用例:一个系统,多个摄像头,抓拍车牌,识别车牌,上传网上,网上展示3.请你对吃鸡游戏进行压力测试4. 请你对朋友圈点赞功能进行测试5. 如果做一个杯子的检测,你如何测试6. 如何对一个页面进行测试7.如何对水壶进行测试8.如何对淘宝搜索框进行测试9.如何对一瓶矿泉水进行测试10. 如何测试登陆界面11.请你说一下jmeter12.请你进行测试:前端下拉框实现,测试下拉框定位方式13.请你来聊一聊appium断言15.请你来说
实践测试登录功能的思路与原理解析(基于 Spring Security)
weixin_46635091的博客
01-21 473
本文为霍格沃兹测试学院优秀学员测试开发学习笔记,进阶学习文末加群。 登录功能对软件测试工程师可能是最常见却是最重要,也是最容易被忽视的测试场景。本文整理一些经验丰富的测试工程师总结的测试用例,并结合 Java Spring Security 框架来简单说下登录的测试方向思路和部分原理,供大家交流探讨。 登录测试方向 功能测试(基础) 1. 输入已注册的用户名和正确的密码,验证是否登录成功; 2. 输入已注册的用户名和不正确的密码,验证是否登录失败,并且提示信息正确; .
软件测试工程师面试题-功能测试(测试理论)
清微的博客
05-30 9862
软件测试理论和常识
Python 接口并发测试详解
悦分享
10-23 6996
性能测试是通过自动化测试工具模拟多种正常、峰值及异常负载条件对系统的各项性能指标进行的测试。负载测试和压力测试都属于性能测试,两者可以结合进行。通过负载测试,确定在各种工作负载下系统的性能,目标是测试当负载逐渐增加时,系统各项性能指标的变化情况。压力测试是通过确定一个系统的瓶颈或者不能接受的性能点,来获得系统能提供的最大服务级别的测试。性能测试的重点是测试在并发条件下服务或系统的瓶颈所在,从而优化相关功能,可能涉及软件及硬件的多方面改进。由此可见,性能测试对整个产品非常重要,甚至可以决定一个产品是否能长久发
jmeter绿色包免安装
10-31
jmeter绿色包免安装 jmeter绿色包免安装 jmeter绿色包免安装
3306多线程爆破1.2.zip
01-04
3306多线程爆破弱口令
你的账号密码是怎样丢失的?暴力破解攻击的检测和防御
主题模板站的博客
01-29 202
尽管暴力破解攻击并不是很复杂的攻击类型,但是如果你不能有效的监控流量和分析的话,它还是会有机可乘的。暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。有时,攻击者会用不同的用户名和密码频繁的进行登录尝试,这就给主机入侵检测系统或者记录关联系统一个检测到他们入侵的好机会。对防御者而言,给攻击者留的时间越长,其组合出正确的用户名和密码的可能性就越大。‍‍系统‍‍‍‍还会把IP信息‍威胁信息分享平台‍进行‍‍‍‍核对。
JMeter破解登录验证码2
人人为我,我为人人
10-24 850
用到的jar包: 1、java-sdk-4.10.0.jar:百度AI图片识别技术 2、test-0.0.1-SNAPSHOT.jar:封装的获取图片验证码的工具类 3、json-20160810.jar:处理json的工具类 4、log4j-1.2.17.jar:日志处理的工具类 下载得jar包放到JMeter中的lib目录中即可使用 链接: https://pan.baidu.c...
jmeter报错:密码错误 解决办法
_冷冷的博客
08-13 1816
1、勾选HTTP请求的【跟随重定向】(报错接口的); 2、参数中的密码值填写加密后的值(通过F12抓包,查看返回的密码值是否是加密过的,若是则把加密过的密码复制到jmeter密码值对应的位置); 3、勾选密码对应的【编码】选项; 4、若JMETER 中 HTTP请求参数设置了请求头Content-Type,,检查其值是否填写正确,正确应为urlencoded,可能填写成了:urlencode ...
暴力破解时常说的万能密码是什么
nonpricklycactus的博客
02-28 6375
     在登陆后台时,接收用户输入的Userid和Password数据,并分别赋值给user和pwd,然后再用  sql="select * from admin where username="&user&" and password="&pwd&"" 这句来对用户名和密码加以验证。        以常理来考虑的话,这是个很完整的程序了,而在实际的使用过程中,整...
JMeter最新版本下载
weixin_48156889的博客
07-27 755
JMeter官网下载 https://jmeter.apache.org/download_jmeter.cgi
jmeter接口测试登录账号密码加密写到data中
07-14
### 回答1: 在进行JMeter接口测试时,需要进行登录账号密码的加密写入到data文件中。为确保接口请求的安全性,需要对账号密码进行加密处理,以防止被恶意窃取。 首先,需要选择合适的加密算法进行加密。常见的加密算法有MD5、SHA-1、SHA-256等。根据具体需求和安全性要求,可以选择合适的加密算法进行处理。 接下来,可以在JMeter的data文件中添加相应的参数。可以使用HTTP Request中的参数化功能,将登录账号和密码设为变量,然后在data文件中定义这两个变量的值。 然后,在data文件中,对登录账号和密码的值进行加密处理。可以使用JMeter提供的函数,如__MD5、__SHA1等对相应的变量值进行加密处理。将加密后的值赋给对应的变量。 最后,将加密后的登录账号和密码作为参数传递给接口请求。使用JMeter的HTTP Request发送登录请求时,将data文件中加密后的账号和密码变量设置为相应的值。这样,在接口请求中,实际发送的是加密后的账号和密码。 通过以上步骤,就能够实现将加密后的登录账号和密码写入到JMeter的data文件中,并在接口测试中使用加密后的值进行请求。这样可以提高接口请求的安全性,保护用户的账号和密码不被泄露。同时,在测试过程中也能够模拟真实的登录场景,提高测试的准确性和可靠性。 ### 回答2: 在JMeter接口测试中,如果要将登录账号密码加密写到data中,可以采用以下步骤: 1. 打开JMeter,创建一个线程组,并在该线程组下添加一个HTTP请求。 2. 在HTTP请求中,填写登录接口的URL和请求方法(一般为POST)等基本信息。 3. 在HTTP请求的Body Data中,可以使用JMeter提供的函数或变量来加密账号密码,并将加密后的值写入data中。 4. 首先,需要使用JMeter的内置函数或JSR223 PreProcessor来加密账号密码。例如,可以使用MD5、SHA等加密算法对账号密码进行加密。 5. 在Body Data中,以键值对的方式填写账号密码参数。例如,账号参数名为username,密码参数名为password。 6. 使用变量将加密后的值赋给键值对中的value部分。例如,`${__MD5(${username},)}`将会对username进行MD5加密。 7. 在发送请求之前,可以使用JSR223 PreProcessor来在运行时计算并替换变量的值。例如,可以使用Groovy脚本来计算密码的加密值。 8. 在测试计划的配置元件中,可以设置全局或用户定义的变量,以便在测试过程中使用。 通过上述步骤,就可以将登录账号密码加密写入data中,实现对登录接口的安全测试。同时,由于账号密码的加密是在运行时进行的,可以提高测试用例的灵活性和安全性。 ### 回答3: 在JMeter中进行接口测试时,如果需要将登录账号密码进行加密并写入到data中,可以使用以下步骤: 1. 首先,在JMeter中创建一个线程组,用于模拟用户的行为。 2. 添加一个HTTP请求,默认情况下,JMeter会发送明文的登录账号密码。为了实现加密,需要进行下列配置。 3. 在HTTP请求中,选择“HTTP请求头管理器”。在请求头中添加一个新的Header,名称为“Content-Type”,值为“application/json”。 4. 添加一个“HTTP请求接口”来模拟登录请求。在这个接口中,选择“Body Data”标签,并在其中填写需要发送的请求数据,可以是JSON格式。例如,{"username": "加密的账号", "password": "加密的密码"}。 5. 在发送请求之前,需要对账号密码进行加密处理。可以使用Java代码,在JMeter中添加一个BeanShell预处理器来实现加密逻辑。在BeanShell预处理器中,编写加密算法,并将加密后的账号密码赋值给相应的变量。 6. 在“HTTP请求接口”中,填写BeanShell预处理器中的变量作为请求数据。这样,通过预处理器中的加密算法,加密后的数据会作为请求的正文发送给服务器。 7. 运行JMeter测试计划,观察结果。如果登录成功,则表示加密和发送账号密码的操作成功。 通过上述步骤,我们可以在JMeter中实现接口测试时将登录账号密码加密并写入到data中的功能。这样可以对传输的账号密码进行安全保护,避免敏感信息泄漏的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值