目录
弱口令
暴力破解
- 是否要求用户设置复杂的密码
- 是否每次认证都使用安全的验证码
- 是否对尝试登录的行为进行判断与限制(如:连续五次登录失败,账号锁定30分钟)
- 是否采用双因素认证
弱口令危害
银行卡被盗,弱口令被猜测,损失大量钱财,qq被盗,向亲朋好友骗取钱财,故意挑拨关系,散布,贩卖个人隐私,发表不实言论等
burpsuite中intruder模块
- Sniper 模式:只针对一个位置进行探测,可以添加多个参数测试,但是每次只替换一个参数
-
Battering ram 模式:针对多个位置使用一个 Payload 。比如用户名和密码是一样的情况下,只用一个字典。
-
Pitchfork 模式:针对多个位置使用不同的多个Payload ,用户字典和密码字典必须一一对应。
-
Cluster Bomb 模式,针对多个位置,全部组合。全部进行配对验证。
payload sets
1. simple list
设置指定字符串,或者从多个文件中读取字符串内容
2.runtime file 运行时文件
设置从指定文件中按行读取payload
3.custom iterator 自定义迭代
最多8个占位,可以在不同占位设置不同的payload,从而组合成多个规则的payload
4.Character substitution 字符串替换
设置字符替换规则,对内容进行枚举后,生成payload
5. bruteforcer
此类 payload生成包含一个指定字符集,所有排列,特定长度的有效载荷
通常用于枚举字典的生成
Character set表示生成字典的数据集
6, Case modification 对字母大小写情况替换
no change 不变
to lower case 小写
to upper case 大写
to propername 首字母大写其他小写
to ProperName 首字母大写其他不变
7. Recursive grep 递归替换
用于从服务端提取有效数据的场景,options (grep extract) 中设置正则抽离内容,才能为下一次请求获取
数据
8. extesion-generated生成插件
基于插件生成payload
9. copy other payload
将其他位置的复制到该位置上
10. Illegal Unicode 不合法的 unicode 编码
在payloads里用指定的不合法Unicode编码替换字符本身,从这些Payload列表里产生出一个或者多个有效负荷。在尝试回避基于模式匹配的输入验证时,这个有效负荷会有用的
11. Character blocks 字符串
生成指定长度模式的字符,边界测试或者缓冲区溢出
12. number 数字
根据配置生成数字payload
13. dates 日期类型
根据配置生成日期
14. NullPayloads 空类型
这种负载类型产生的Payload,其值是一个空字符串。在攻击时,需要同样的请求反复被执行,在没有任何修改原始请求的场景下此Payload是非常有用的。它可用于各种攻击,例如cookie的序列分析、应用层Dos、或保活会话令牌是在其它的间歇试验中使用。
15. character frobber 字符frobber
依次修改指定字符串每个字符位置的值,测试session的有效性
16. bitflipper bit翻转
对于舍得payload 按照 bit 修改
17. usernamegenerator 用户名生成器
18.ECB blockshuffler ECB加密块洗牌
测试基于ecb加密模式的payload
弱口令措施
如何防止弱口令
- 不使用弱口令
- 密码分级制度
- 口令不出现个人身份相关的信息
- 尽可能增加密码复杂程度
- 一定时间段内更换密码
- 不保存,不传播密码
如何防止弱口令爆破
- 账户锁定
- 密码长度要求
- 阻止使用增量密码和常见组合
- 泄露密码防护
- MFA(多因素认证)