python网站攻击-利用Python进行Web渗透测试(十):密码攻击

最新推荐文章于 2023-05-24 14:13:44 发布
最新推荐文章于 2023-05-24 14:13:44 发布
阅读量1.5k 收藏
点赞数

本篇将会涉及:

密码攻击测试

密码攻击测试的方法

密码和账户策略

密码攻击测试是怎么进行的

密码攻击可能是暴力破解中最常见的一种类型,广泛的被使用在渗透测试的各个领域,比如Web应用、WiFi密码破解等。密码攻击又称为口令攻击,只要攻击者获得了用户的密码口令,就能够获取用户所拥有的所有权限。而密码攻击的一个主要方式就是字典攻击,通常在通过网站的扫描探测器扫描到了网站的后台目录,就可以使用字典进行密码测试了。

至于为什么使用字典进行密码攻击,当然,是因为很多用户选择设置弱口令密码来方便记忆;网站越来越多,需要注册的也越来越多,为了方便记忆,很多人为了省事,直接就使用什么“123456”、“qq123456789”、“zxs5201314”之类的密码,或者使用生日作为自己的密码。这样的密码方便是方便了,就是有点不安全。

通过字典进行的密码攻击,使用的字典文件通常是基于常用的英语单词、汉语拼音、数字和数字谐音来构建,以及基于上述的密码类型进行变形的字符、单词、数字等;

密码攻击测试的几种方法

基于字典的密码攻击虽然是直接依赖字典,但也有一些策略可循

垂直扫描,对一个用户名进行所有的密码测试;

根据一个获取到的用户名,应用于字典中的所有密码口令;

水平扫描:对多个用户名进行常见的密码测试;

对获取到的一批用户名,使用最常见的弱口令进行测试,比如“123456”。

对角线扫描:对不用的用户名和不用的密码进行遍历密码测试;

对所有的用户名进行字典中所有的密码的测试,这个通过遍历来实现。

三维扫描:使用上述三种扫描方式结合分布式的代理IP进行密码测试;

四维扫描:基于上述四种方式,再设置时间间隔延迟进行扫描;

一些密码和账户策略

密码的设置规则,定义了密码质量的底线;

密码长度

禁止短密码的设置;

区分大小写:将大小写字母进行组合;

允许多种字符:字母、符号、数字等

大写字母、小写字母、特殊符号加数字的组合;

禁止重用:重设密码时禁止使用曾经使用过的密码;

对过去使用过的密码,拒绝在重设密码的使用;

设置密码黑名单:禁止使用黑名单中的密码,比如123456,5201314等;

一些账户的策略,则能够有效提高账户安全:

定期进行密码修改;

设置一个固定的时间间隔,当超过这个时间间隔,提醒用户修改密码;

密码错误一定次数之后进行锁定;

现在很多站点已经添加了这个策略,在输入密码错误一定次数之后,将账户锁定一定的时间。

下一篇,我们将使用Python创建一个密码暴力攻击器,敬请期待!

分享到:

weixin_39907713
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python网络安全项目开发实战_看清Web攻击_编程案例解析实例详解课程教程.pdf
04-27
本章来看一下 Web 攻击到底是怎样的,进而更好地防止自己遭到 Web 攻击。本章仅讲解攻击的过程,不针对任何具体的主机或服务器。不管是国内巨头 BAT,还是国外的 Google、MicroSoft、FaceBook……都不能保证自己万无一失(即使主站没问题,还有众多的分站),其他的中小型企业就更不用说了。这个不是硬件问题,也不是技术问题。只要是人在维护网站,必定会有漏洞。不管是针对哪个网站,只要认真地寻找、检测总会有机会。即使得不到控制权,也可能造成一定的破坏。所以,我们想保护自己的网站,也要像黑客一样,查找并堵上这些漏洞。
Python黑客攻击的几种技术,你得了解一下
weixin_34018169的博客
04-26 2550
2019独角兽企业重金招聘Python工程师标准>>> ...
Python网络爬虫摘文-理解网络爬虫
Xuersry的博客
07-30 811
曾多次
Python做安全测试攻击实战
测试萌萌
05-24 2165
在本文中,我们将使用Python进行一次安全测试的实战演练,目标是找出并利用应用程序的安全漏洞。请注意,这个演练仅用于教育和研究目的,切勿将这些技术用于非法活动。 注意:未经授权的攻击是违法的。确保你在拥有明确权限的环境中执行这些攻击,例如在你自己的应用或经过明确授权的应用上进行
Python脚本,网站暴力破解攻击
weixin_44297276的博客
03-28 1857
rv:78.0) Gecko/20100101 Firefox/78.0" # 用户代理。wordlist = "D:\Meu jogos Meus documentos\ProgetoNovo\small.txt" # 字典文件路径。target = input("\nInsira URL:") # 目标URL。# 当单词队列不为空时,获取队列中的单词。# 如果有恢复点,则从恢复点开始。# 遍历字典文件中的每个单词。# 定义函数:读取字典文件。
python网站DDos攻击
ljw0001_2022的博客
07-22 4103
注:以下一切内容请勿用于非法用途,攻击他人服务器,网站等后果自负!!! 首先,我们来了解一下DDos攻击的原理,其实很简单,就是电脑在很短的时间内向网站服务器发送很多请求,最终使得服务器处理不过来,死机了,服务器一死机,网站就随之访问不了了,DDos攻击的目标就达成了。不需要编程者掌握什么高超的技术,也不用想如何渗透进服务器安装病毒程序,就可以完成攻击。好了,废话不多说,上源码 还是那句话以下一切内容请勿用于非法用途,攻击他人服务器,网站等后果自负!!!本人一概不负任何责任 import socke.
Python 使用UDP 协议实现内网瘫痪 网吧网络瘫痪
MJDDDWD的博客
04-14 1452
#1、什么是广播地址 对一台网络上的主机来说,它可以正常接收的合法目的网络地址有三种:本机的IP地址、广播地址(我们待会用到的)以及组播地址。 广播地址(Broadcast Address)是专门用于同时向网络中所有工作站进行发送的一个地址,它的地址是范围0~255,例如广播地址 192.168.100.255 ,路由器可以在192.168.100.0网段转发广播地址用于向本网段所有的节点...
python攻击网站的方式_python web框架Flask——csrf攻击
weixin_39836876的博客
11-23 725
CSRF是什么?(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相...
python如何攻击网站_python---Django常见的web攻击和防范
weixin_39706367的博客
11-26 1459
1、sql注入攻击及防范2、xss攻击和防范3、csrf攻击和防范一、sql注入攻击和防范1、sql注入的危害:非法读取、篡改、删除数据库中的数据盗用用户的各种敏感信息,获取利益通过修改数据库来修改网页上的内容注入木马2、攻击的方法:项目中,执行数据库中操作不是用orm来编写,用原生的sql语句,例如登录页面:1 from django.shortcuts importrender2 classL...
[Python] 口令攻击实验
//TODO: implement the future
10-18 988
这是一段Python程序用于演示多线程口令攻击,可以自动把密码区间划分给不同的线程去攻击。并且在类定义中支持任务恢复功能。 它采用暴力方法,确实可以获得口令,但还是受到诸多限制:如计算机性能,网速,对方服务器性能,对方的入侵检测和负载平衡的制约。 其实在这些限制之下,能够攻下口令还是分困难的事情,需要花费很长的时间。不过这个演示还是有许多启示性的价值。
一款基于Python-Django的多功能Web安全渗透测试工具源码.zip
05-08
一款基于Python-Django的多功能Web安全渗透测试工具,包含漏洞扫描,端口扫描,指纹识别,目录扫描,旁站扫描,域名扫描等功能。
基于Python-Django的多功能Web安全渗透测试工具设计.zip
06-09
本项目命名为 Sec-Tools,是一款基于 Python-Django 的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息泄露检测等功能。 本系统通过 旁站探测 和 域名探测 ...
毕业设计-基于python-web渗透测试工具(django)毕业设计与实现(源码+数据库+演示视频).zip
07-09
第2章 web安全评估及测试的介绍 8 2.1 渗透测试 8 2.2 web安全评估 8 第3章 渗透测试及安全评估的设计 10 3.1 漏洞渗透测试方法设计 10 3.2 SQL漏洞的设计 10 3.2.1 SQL注入漏洞的原理 10 3.3.2SQL注入漏洞的危害 10...
基于Python-Django的多功能Web安全渗透测试工具设计源码+使用文档说明.zip
最新发布
04-24
基于Python-Django的多功能Web安全渗透测试工具设计源码+使用文档说明.zip本项目是一款基于 Python-Django 的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息...
python 暴力 PDF 口令破解程序
dongyu1703的博客
09-21 3345
假定有一个加密的 PDF 文件,你忘记了口令,但记得它是一个英语单词。尝试猜测遗忘的口令是很无聊的任务。作为替代,你可以写一个程序,尝试用所有可能的英语单词来解密这个 PDF 文件,直到找到有效的口令。这称为暴力口令攻击。从http://nostarch.com/automatestuff/下载文本文件 dictionary.txt。这个字典文件包含 44000多个英语单词,每个单词占一行。利用第...
Python黑客攻防(四)暴力破解FTP口令
qq_43681532的博客
08-02 1544
注:本篇文章为个人学习笔记仅供学习交流,请勿用于非法用途。 参考:《Python绝技:运用Python成为顶级黑客》。 前言: 从安全方面考虑,网站允许匿名FTP访问似乎是很疯狂的做法。然而,令人惊讶的是许多网站为此提供的正当理由却是:匿名FTP访问有助于网站访问软件更新。 在进行FTP密码暴力破解前,我们要先验证一下目标服务器是否允许FTP匿登录。 我们可以利用Python中的ftplib 库编写一个小脚本, 确定目标服务器是否允许匿名登录。anonLogin()函数接收的参数是一个主机名,并返回一个布尔
只用20行Python代码就攻破了网站登录
公众号:Python研究者
03-12 1785
大家好,我是辰哥~今天教大家用Python代码攻破网站登录(在测试靶机上进行实验),原理上是抓包和改包,如果学过的爬虫的话,相信你会快看懂这篇文章测试靶机为DVWA,适合DVWA暴力破解模...
python攻击网站的方式_利用HTTP Basic认证进行钓鱼攻击python脚本
weixin_39646658的博客
11-24 502
1) 什么是HTTP Basic认证HTTP Basic认证是由web服务器提供的,一种轻便的身份校验方式。访问某些敏感资源时,服务器将要求输入账号、密码进行校验,通过之后才可继续访问,如下图所示:2) 如何使用HTTP Basic认证钓鱼最常见的一种攻击方式,是在访问量大、又能够插入第三方图片的页面中,插入由我们构造的超链接。这样,当别人访问页面时,浏览器就可能弹出对话框来(Chrome不会触发...
python题库刷题网站_python在线刷题网站
热门推荐
weixin_39944638的博客
12-01 1万+
{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],"search_count":[{"count_phone":4,"count":4}]},"card":[{"des":"阿里技术人对外发布原创技术内容的最大平台;社区覆盖了云计算、大数据、人工智能、IoT、云原生、数据库、微服务、安全、开发与运维9大技术领域。","link1":...
python-django 的多功能 web 应用渗透测试系统
01-06
1. 强大的渗透测试功能:Python-Django 可以实现对 Web 应用中可能存在的漏洞进行渗透测试,比如 SQL 注入、跨站脚本攻击等,提供了一系列的工具和库来实现这些功能。 2. 可扩展性:Python-Django 框架本身就具备...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值