文章介绍了暴力破解的概念,包括其定义、产生原因及注意事项。针对C/S和B/S架构,列举了常见的破解工具如Hydra和BurpSuite,并提出了一套防御措施,包括设置复杂的密码、使用验证码和限制登录尝试次数。
暴力破解
一、简介
1、定义
暴力破解是一种针对密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。
2、产生原因
由于服务器端没有做限制,导致攻击者可以通过暴力的手段破解所需信息。
3、注意事项
破解器一定要有一个有效的字典,判断用户是否设置了复杂的密码、网站是否存在验证码、尝试登陆的行为是否有限制、网站是否双因素认证、Token值等。
对目标网站进行注册,搞清楚账号密码的一些限制,比如目标站点要求密码必须是否是8位以上、字母数字组合,则可以按照此优化字典,去掉不符合要求的密码。
如果破解的是管理后台密码,可以使用admin、administrator、root等账号,机率较高,可以使用这三个账号+随便一个密码字典进行暴力破解,在破解过程中要注意观察提示,如“用户名或密码错误”、“密码错误”、“用户名不存在”等相关提示。
二、C/S架构暴力破解
1、定义
C/S即客户端/服务器,基于C/S架构的应用程序,如ssh、ftp、SQL-Server、MySQL等,这些服务往往提供一个高权限的用户,而这个高权限的用户往往可以进行执行命令,如SQL-Server的sa,MySQL的root,Oracle的sys和system,使用这些高权限的用户能在很大程度上给开发人员带来方便,但如果口令被破解带来的危害也是相当大的。
2、破解工具
C/S架构主要使用&#x
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
