DVWA Buete Force(暴力破解)
low
直接使用Burip suite来进行暴力破解
medium
与low的方法一样,但是在破解速度上比较慢。因为在源代码中多了sleep()函数。
high
同样使用Burip suite进行暴力破解
因为有token,所以在选项要做相应的改变
暴力破解漏洞修复建议
1)账户锁定
账户锁定是很有效的方法,因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为,那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。如果对已经锁定的账户并不返回任何信息,可能迷惑攻击者。
2)页面跳转
登录产生错误时就跳到另一个页面要求重新登录。局限性在于不能总是跳转页面,一般只在第一次错误的时候跳转,但是第一次之后又可以继续暴力探测了。
3)登录的IP地址
局限性:攻击者可以定时更换自己的IP。
4)验证码
验证码是阻止暴力攻击的好方法,但设计不好的验证码是可以绕过的,而且对于特定目标的手工探测来说验证码是没有作用的。
扫一扫
897
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
