Web安全-口令破解

已于 2022-03-10 17:42:31 修改
阅读量1.6k 收藏 6
点赞数 1
分类专栏: Web安全 文章标签: web安全
于 2020-07-11 10:04:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/visitor009/article/details/107280024
版权

前言

口令破解是一种对应用认证系统的攻击手段,在web攻击中,一般会使用这种手段对账号登录系统进行破解。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作

口令攻击分类

基于穷举的攻击

简述:所有符合规则的认证信息,进行攻击。假设密码组成规则是6位26个字母、数字的组合。那么我们知道密码的组合数量有56800235584(约568亿)。公式为 n r n^r nr, n为可用字符,r为组合的位数, 6 2 6 62^6 626。设每秒认证一条,568亿需要1801年。如果是字母、数字、符号的8~16位组合,则数量会更多
优点:可靠。理论上时间允许,就可以破解
缺点:效率低

基于字典的攻击

简述:使用符合规则的一部分认证信息,进行攻击。如弱口令TOP、基于社工,使用名字、生日、手机号码生成的口令字典。这里要注意的一点是要过滤掉不符合认证系统规则的密码,如目标的密码组成是8位,应该要过滤掉8位以下的密码
优点:效率高
缺点:攻击成败,取决于字典的好坏

防御措施

设置高强度密码
例如 8位~16位,字母+数字+特殊符号(-_!@),8位组合的数量就高达上万亿。但是数据库被入侵会泄露
双因素认证
静态密码+一次性动态密码,如账号密码验证成功后,再使用手机号验证码。这里的验证码有被截获的风险,如伪基站、手机木马、钓鱼网站
增加验证码
在规定时间内认证次数过多,增加动态验证码。如在5秒内认证了2次,增加验证码,参考慕课网
密码锁定策略
在规定时间内认证次数过多,锁定账号,规定时间内不得再认证。如在10秒内认证了5次,锁定5分钟,参考手机的锁屏密码

总结

密码越简单,验证环节越少,攻击越容易

攻击实验

工具:Burp suite渗透测试工具
环境:Firefox浏览器, Pikachu漏洞靶场
前期准备:开启Burp suite代理,设置浏览器 Burp suite的代理,部署Pikachu漏洞靶场

穷举攻击

  1. 打开Pikachu > 暴力破解 > 基于表单的暴力破解
    填写正确的账号,随意填写密码,点击按钮提交在这里插入图片描述

  2. 截获代理,发送到攻击器那里
    在这里插入图片描述
    在这里插入图片描述4. 设置攻击配置
    在这里插入图片描述最后,看返回的信息查看是否成功
    在这里插入图片描述

字典攻击

0.寻找字典:弱口令TOP社工生成Crunch-口令生成器

1-3步和穷举攻击一样,将第四步改成
在这里插入图片描述

参考资料

百度百科-重复排列
pikachu漏洞靶场
口令生成-社工
Crunch-口令生成器
BrupSuite使用

visitor009
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebCrack4网页密码破解工具+字典
08-28
webcrack4路由器密码破解软件常用字典 webcrack4路由器密码破解软件常用字典
口令暴力破解--Ftp协议暴力破解与Ssh协议暴力破解
薛定谔的猫
04-12 4950
服务器收到请求之后,先在该服务器上你的主目录下寻找你的公用密匙,然后把它和你发送过来的公用密匙进行比较。同时如果服务器没有其他安全限制,如登录来源IP,账户登录错误次数,则会可能存在被暴力破解的可能。打开kali-linux命令行窗口,输入ssh admin@193.168.1.26,任意输入用户名密码,提示访问被阻止。尝试登录FTP服务器,打开kali系统终端,输入ftp 193.168.1.23,随后输入上面获取的用户名和密码。输入search ftp_login,搜索ftp_login模块。
web密码爆破
最新发布
cyy001128的博客
04-10 369
Cluster bomb兼备了前面三种模式的所有的功能,允许使用多组字典,如果你设置了$用户名$、$密码$、$验证码$,那么集束炸弹模式会进行笛卡尔积。使用一组字典,如果你设置了$用户名$、$密码$、$验证码$,那么狙击手模式只会先狙击用户名,狙击完成后会逐一狙击密码和验证码。两个参数同时进行遍历一个字典,如果你设置了$用户名$、$密码$、$验证码$,那么攻城锤模式会一次性全部替换执行攻击。允许使用多组字典,如果你设置了$用户名$、$密码$、$验证码$,那么草叉模式会在这些地方遍历所有字典。
口令破解(概述、暴力破解、字典破解、Hydra)
热门推荐
Pluto.的博客
12-14 2万+
文章目录口令破解概述口令安全现状破解方式暴力破解字典破解Hydraquarkspwdump 口令破解 概述 现在很多地方都以用户名(账号)和口令(密码)作为鉴权的方式,口令( 密码)就意味着访问权限。口令(密码)就相当于进入家门的钥匙,当他 人有一把可以进入你家的钥匙,想想你的安全、你的财务、你的隐私… 例如网站后台、数据库、服务器、个人电脑、QQ、邮箱等。 口令安全现状 弱口令 类似于123456、654321k admin123 等这样常见的弱密码。 默认口令 很多应用或者系统都存在默认口令;如ph
口令暴力破解详解(包含工具、字典下载地址)
ran的博客
04-24 1万+
口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能 对你很了解)猜测到或被破解工具破解口令均为弱口令,通常与管理的安全意识和平台的初始化配置等相关,通过系统弱口令,可被黑客直接获得系统控制权限。在常见的安全测试中,弱口令会产生安全的各个领域,包括 Web 应用,安全设备,平台组件,操作系统等;如何获取弱口令,利用弱口令成为了此类安全问题的关键!
信息安全实验——口令破解技术
weixin_51970555的博客
09-30 2149
口令一般出现在网站管理、运营人员本身安全意识不足,并且为了方便、避免忘记密码,使用了非常容易记住的密码,或者是直接采用了系统的默认密码。弱口令的危害非常直接,攻击者可以利用此漏洞直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。
国科大+Web安全技术+口令破解大作业
03-10
关于国科大web安全技术大作业,口令破解的部分代码,仅供参考。包括密码特征提取、密码特征统计、密码暴力猜测。
web安全口令构成分析(python实现)【代码】
11-15
国科大web安全技术大作业,分析国内某网站泄露的600万口令,分析其特点并生成一个字典,由于是团队作业,这里只放上我的部分:分析口令长度以及口令结构特点。
darkweb2017-top10000.txt
02-23
CTF常用字典。
Web安全编程实战
03-03
Web安全问题,很多时候会被程序员所忽略,因为他们相信会有专业的运维人员或者安全服务团队帮助他们寻找漏洞,并且指导他们修改这些漏洞。而对于小公司,没有这样专业的人员又怎么办呢?安全漏洞造成了很多不必要的...
WEB安全审计
03-01
渗透程度有深浅,要看Web服务器的安全程度。浅则窃取一些用户账号相关信息,深则获得管理员账号。最常用的渗透手段是SQL注入、XSS(跨站)、上传漏洞。这里只从防御的角度阐述。1.泄露敏感信息—攻击者可以获取后台...
web口令探测开发套件
11-03
在做安全测试的时候,随着资产的增多,经常会遇到需要快速检测大量网站后台弱口令的问题。然而市面上并没有一个比较好的解决方案,能够支持对各种网站后台的通用检测,WebCrack是一款web后台弱口令/万能密码批量爆破...
2018.12-Web口令通用检测方法探究1
08-03
Web口令检测方法是指检测 Web 应用程序中的弱口令问题,以确保 Web 应用程序的安全。该方法通过扫描 Web 应用程序的登录页面,检测是否存在弱口令问题。 检测方法 该方法使用了以下步骤来检测弱口令问题: 1. ...
WEB安全评估与防护.pdf
03-16
Web安全评估与防护是针对基于浏览器/服务器架构的Web应用进行的安全审查,旨在发现并解决潜在的安全问题。随着Web2.0技术的广泛应用,Web安全的重要性日益凸显。2008年的X-Force报告显示,Web安全事件的数量急剧增长...
web安全入门ppt课件.ppt
11-16
* Web 漏洞的类型:包括 SQL 注入、XSS、目录遍历、权限绕过、弱口令等。 SQL 注入 * SQL 注入的定义:SQL 注入是一种攻击技术,攻击者可以通过向 Web 应用程序输入恶意的 SQL 语句来攻击数据库。 * SQL 注入的...
网络安全-内部资料.pdf
01-25
5. 协议安全的脆弱性:TCP/IP协议本身的设计并未充分考虑安全性,因此服务如Web、FTP等可能存在安全缺陷。 6. 人为因素:用户的误操作、安全意识不足、口令选择不慎等也会对网络安全产生影响。 7. 自然灾害:地震、...
web漏洞-弱口令暴力破解
rumil的博客
05-14 3228
口令漏洞没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险。
【精选】弱口令介绍及破解方式
qq_53058639的博客
11-09 1042
仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码,破解时间大大缩短。
绕过校园网Web认证
skysys的研究小屋
10-26 7679
基本思路参考 绕过校园网Web认证 配置成功后执行步骤: 本地 dns2tcpc -r ssh -z ns记录地址 服务器外围ip -l 8888 -d 2 然后打开上面建立的到127.0.0.1的会话就行了。(这个窗口不能关) 本文对这篇文章进行补充: 关于步骤按下ctrl+a+d (按下ctrl和a,然后不松ctrl键继续按d然后才松手) 查ns记录? cmd->nslookup...
web口令是什么意思
05-13
Web口令是指一些简单、容易猜测或者常用的密码,这些密码很容易被攻击者破解,从而获取用户的账号和密码,进而入侵用户的网站或系统。这种弱口令攻击方式非常常见,攻击者可以通过暴力破解或使用一些自动化工具尝试大量的常见密码,从而突破用户的密码保护。因此,为了保护自己的账号和系统安全,用户应该使用足够复杂和难以猜测的密码,并且定期更换密码。网站和系统管理员也应该加强对用户密码的安全管理,设置密码策略,限制密码复杂度,以及采取其他安全措施来防止弱口令攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值