暴力破解攻击

暴力破解攻击概述:

连续性尝试 + 字典 + 自动化

一个有效的字典,可以大大提高暴力破解的效率

  常用的账号密码 弱口令,比如常用用户名/密码 TOP 500等 ;

  互联网上被脱裤后账号密码(社工库),比如CSND当年泄露的约600w用户信息;

  使用指定的字符使用工具按照的规则进行排序组合算法生成的密码;

 

暴力破解漏洞测试流程:

1、确认登录接口的额脆弱性

确认目标是否存在暴力破解的漏洞(确认被暴力破解的 可行性)

比如:尝试登录——抓包 --- 观察验证元素和 response 信息,判断是否存在被暴力破解的可能。

2、对字典进行优化

根据实际的情况对字典进行优化,提高爆破过程的效率

3、配置自动化工具(比如 线程、超时时间、重试次数等),进行自动化操作。

  

  字典优化技巧:

    1、根据注册提示信息进行优化

    对目标站点进行注册,搞清楚账号的一些限制,比如目标站点要求密码必须6位以上,字母数字组合,则可以按照此优化字典,比如去掉不符合要求的密码;

    2、如果爆破的是管理后台,往往这种系统的管理是admin/adminnistrator/root的几率比较高,可以使用这三个账号 + 随便一个密码,尝试登录,观看返回的结果,确定用户名。比如输入xxx/yyy 返回 用户或密码错误;输入admin/yyy 返回 密码错误,则基本可以确定用户是admin;因此可以只对密码进行破解即可,提高效率;

 

基于表单的暴力破解攻击 (基于 brup suite)burp suite free edition-intruder

burp一个集成的 web 安全测试系统,有 free(免费) 和 pro(收费) 两个版本

proxy 和 intruder 两个模块

官网下载:https://portswigger.net/burp/download.html

 

暴力破解之不安全的验证码分析

我们一般用验证码来做什么? 登录暴力破解 防止机器恶意注册 

验证码的认证流程:

客户端request登录页面,后台生成验证码:1.后台使用算法生成图片,并将图片response给客户端;

2.同时对提交的验证码与SESSION里面的进行比较;

客户端重新刷新页面,再次生成新的验证码:

验证码算法中一般包含随机函数,所以每次刷新都会改变;

  --- 不安全验证码 -on client- 绕过

查看验证码是否是在前端做的,在前端做验证码是不安全的;后端没有验证 验证码是肯定可以被绕过的;

不安全的验证码:

所有验证码生成操作直接通过前端js来实现 这就是一个纸老虎;

将验证码在cookie中泄露,容易被获取;

将验证码在前端源代码中泄露,容易被获取;

 

 

不安全的验证码  --- on server 常见问题

验证码在后台不过期,导致可以长期被使用;

验证码校验不严格,逻辑出问题;

验证码设计的太过简单和有规律,容易被猜解;

查看验证码是否可以多次被利用;服务端绕过;服务器端将验证码字符串以明文cookie方式给了前端,那验证码没有什么用;所以要用一次就销毁一次验证码

 

 

Token可以防暴力破解?其实不可以的,只要每次在暴力破解的时候每次获取一次 Token 这个值就可以了;所以这个值也不可以明文;

 

 

 

学习所用;并且自己做了一下简单的测试;

自己搭建的环境测试;以上用的 burp 做的测试;

 

转载于:https://www.cnblogs.com/H-hy/p/11507987.html

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值