暴力破解哪些事儿(2)

已于 2023-02-14 15:23:23 修改
阅读量504 收藏 4
点赞数 1
分类专栏: 2.0 渗透测试 文章标签: javascript 爬虫 python
于 2021-03-02 15:57:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40667448/article/details/114283710
版权

1.暴力破解的绕过和防范(带有验证码)

验证码有什么用?

     防止登录接口被暴力破解

     防止用户恶意注册

带有验证码的登录接口认证流程是什么样的?

1.1 客户端请求登录页面,后台生成验证码 

    当打开登录界面的时候,实际上是向后台发送了一个请求。后台收到请求之后,调用一个生成验证码的函数,负责生成验证码(生成的验证码传回到前端的时候,一定是个图片)

        (1) 后台使用算法生成图片,并将图片response给客户端

        (2)同时将算法生成的值全局赋值存到session中

1.2验证码校验

   后台算法生成的验证码以Session的形式存到缓存中。用户登录认证时,登录账号、密码、验证码,提交的时候会将验证码的文本信息提交到后台。后台会对前端提交过来的验证码和session中保存的验证码进行比较。

        (1)  客户端将认证信息以及验证码一起提交

        (2)  后台对提交的验证码与session里面的进行比较

1.3 客户端重新刷新页面,再次生成新的验证码

验证码算法中一般包含随机函数,所以每次刷新都会改变)一旦认证成功后,验证码就会被销毁掉因为验证码一定是一次一用的。)

后台会对验证码的时间进行设定:

     例如:如果用户请求了验证码,但是未登陆,那么一定时间后,后台会将此验证码进行销毁,也就是需要重新刷新,获取新的验证码。

2. 客户端绕过实验(不安全的验证码)

1. 按照暴力破解那些事儿(1中所讲),第一步判断登录接口是否能够被暴力破解,即:任意输入,查看回显信息,并通过抓包,分析包信息,认证因素等等。

      随便输入用户名+密码,但是不输入验证码:                                               输入错误的验证码

输入正确的验证码并利用burpsuit抓包

认证因素包含验证码,那么是不是有验证码就一定是安全的?

查看页面源代码

查看JS代码在何处被调用?

分析上面可知:

所有验证码的生成和验证都是通过Javascript在前端来实现的。

从安全的角度来看,通过JS在前端做这些安全的认证是没有意义的,很容易被绕过。然后我们通过看数据包,去看是否后端没有进行安全认证,仅仅在前端做了验证。

在repeater模块修改数据包信息(修改验证码),观察回包信息

上面的两个图,分别没有输入验证码和输入错误的验证码,但是在后台并没有返回验证码错误,或者请输入验证码的相关信息,而是返回用户名和密码不存在。即说明:并没有在后台进行验证码的安全认证,实际上仅仅是通过前端的JS来实现的。

2,进行爆破,爆破流程参照暴力破解哪些事儿(1)(注:破解流程都是一样的,选择第四种爆破模式(集束炸弹)进行爆破(最常用))

攻击结果:可见用户名admin 密码为123456

分析:在前端用JS做的验证码是没有什么意义的,很容易能被绕过。在实际中,前端的这种手段只能作为辅助手段,重点还是靠后端安全验证。

******************分析后端源码

查看后端源码:发现后端只有密码和用户名,并没有对验证码做限制。即只判断username和password如下如所示:

综上所述:得出以下结论

1:在前端;利用JS实现验证码不靠谱

2:将验证码暴露在cookie中,很容易被敌手获取

3:将验证码在前端源代码中暴露,很容易被获取。

***********************************************************************************************************

上次实验表明:验证码一定是要在服务端(后台)进行验证的,但是在后台进行操作的时候,如果代码不够严格,同样也有可能被绕过。原因如下:

     1:验证码在后台不过期,导致可以长期被使用

     2:验证码校验不严格,逻辑出现问题

    3: 验证码设计的太过简单和有规律,容易被猜解

3.服务器端绕过实验

3.1先确认下验证码的有效性(验证码错误+空验证码+正确验证码)

**在后台不输入验证码试一下,看一下响应信息,response显示验证码不能为空====》说明后台有做过校验,具体如下:

**在后台输入错误验证码,看一下响应信息,验证码输入错误,说明后台有做过校验

通过上述测试,是不是就一定不存在问题呢?如果存在问题该如何去考虑?

入手点就往上面存在问题里面找:即:验证码在后台是否有过期的问题

***************************操作步骤

刷新页面获取一个新的验证码:(验证码获取的具体流程见上)

在burp中将验证码修改成为正确的验证码,查看response

在验证码不改变的情况下,修改账号和密码再重新发一次,看看这个验证码是否还有效?

如果有效,那么证明验证码可以被重复利用。结果如下:

结论:验证码可以被重复利用。也就是说虽然你有验证码,但是可以一直使用。

实施爆破流程:(利用第四种模式,添加两个字典)开始进行爆破,通过观察响应包的长度。

不需要上述这些匹配,因为我们通过返回包的长度去判断就行了。

*查看服务器端源代码

当你刷新这个页面,img就会访问showvcode.php这个文件,生成新的验证码

当你点击这个验证码时,也会访问showvcode.php这个文件,生成新的验证码

生成验证码的代码

解决办法:

1用过一次就应该立即销毁掉 2:设置session有效时间(默认时间是24分钟)

************防止暴力破解的措施

R47l0
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
burp返回(Burp Suite抓使用步骤)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-20 8784
burp返回方法:burp返回在抓到之后, 然后设置Action:do intercept -> response to this request (burp返回),点击Forward即可。 下面介绍Burp Suite抓使用步骤 1、打开Burp.调整Proxy-Intercept-Intercept is on为‘Intercept is off’(拦截器开关) ​2、在火狐中打开需要拦截的网页,(比如同charlse博客里面写到的上传1.txt文件),点击上传文件按钮
渗透测试-网页接口加密暴破
cdyunaq的博客
05-30 2432
前言 平时测试的时候,可能会遇到一些接口(如登陆接口)中的某些数据是加密的,如下图: 一般的思路:通过逆向分析前端加密算法,拿到密钥,再写脚本模拟加密过程构造想要的数据 [!note] 上面的思路是常规的思路,如果代码存在混淆,则比较费时费力,甚至分析不出来 因为加密都是在前端执行的,那么我们只需要模拟前端的操作即可 此处抛开burp插件不谈 解决办法 通过js模拟操作即可 1.定位输入框和按钮 2.设置数据 3.点击按钮 分析代码,找到我们要输入的框 然后定位到数据,
防止暴力破解,教你如何在登录失败后实施10分钟账户锁定策略!
最新发布
didiplus
06-14 906
是一个 PAM(,可插入认证模块)模块,用于在 Linux 系统中限制用户登录失败次数的功能。登录失败计数器管理能够跟踪用户登录失败的次数。当用户连续多次登录失败时,它会增加计数器,并根据设定的策略来处理这些失败尝试。限制登录:一旦用户登录失败的次数达到预设的阈值,可以执行一些动作,例如锁定用户账户,禁止用户继续登录一段时间,或者需要管理员介入才能解锁账户。保护系统安全:通过限制登录失败次数,能够减少恶意用户通过暴力破解或者字典攻击等方式尝试访问系统的可能性,从而增强系统的安全性。配置灵活。
通过接口暴力破解密码
笑々笑的博客
02-25 2176
import requests import threading import sys import os import time reload(sys) sys.setdefaultencoding('UTF-8') url = 'http://web.fangdongliqi.com/' headers0={ 'User-Agent':"Mozilla/5.0 (Windows N...
web安全之暴力破解(一)
Teemos的博客
12-24 1407
文章目录1 暴力破解原理和测试流程1.1 测试流程1.2 字典优化技巧2 基于表单的暴力破解3 验证码绕过-on client相关问题3.1 认证流程3.2 常见问题4 验证码绕过服务端5 防暴力破解的措施总结 1 暴力破解原理和测试流程 连续性变化+字典+自动化 一个有效的字典,可以大大提高暴力破解的效率。 常用的账号密码(弱口令) 互联网上被脱裤后账号密码(社工库) 使用指定的字符使用工具按照指定的规则进行排列组合算法生成的密码 1.1 测试流程 1.确认登录接口的脆弱性 确认目标是否存
2-1暴力破解原理和测试流程
山兔的博客
04-09 1609
本文章的主题是暴力破解漏洞,我们来看一下这章将讲述什么内容  暴力破解攻击&暴力破解漏洞概述  暴力破解漏洞测试流程 一定是站在安全测试的角度,如何去确认我们的目标系统存在破解漏洞的  基于表单的暴力破解攻击(基于burp suite)  暴力破解之不安全的验证码分析 ---on client ---on server 因为在我们的实际环境当中,很多时候,我们会用验证码来做防暴力破解的措施,由于有时候,我们采用了不太安全的设计,而导致我们的验证码形同需设  Token可以防
Burpsuit使用03:拦截请求并修改响应
汪敏的博客
06-16 7084
burpsuite是渗透的必备工具,使用它可以进行一些截分析,修改数据、暴力破解、扫描等功能,使用最多的场景应该是设置代理拦截数据分析数据和爆破。
暴力破解约瑟夫环问题(不用任何数学公式)
黄柏铭的博客
03-16 487
暴力破解约瑟夫环问题(不用任何数学公式) 前几天和好朋友聊天时听她提到约瑟夫环问题,感觉挺有意思的,就试着写了一下。 写完之后,我带着好奇心去Google别人的解法,看看还有没有其他的方法去解决这个问题。很多人通过求余和递推的方法推导出一个数学公式,然后根据数学公式解决问题;还有一部分人用链表的方法解决。然而,看了一个早上,这两种办法我都没看懂——我既没学过C语言的链表,对求余的性质也不熟悉,他们...
初中语文文摘社会银幕后的那些事儿
09-08
从标题"初中语文文摘社会银幕后的那些事儿"和描述中可以看出,这篇文章揭示了电影行业背后的辛勤工作和独特故事。电影制作涉及到许多细节,如场景布置、服装设计、道具制作以及后期剪辑等,每一步都需要精细的操作和...
关于目标检测的那些事儿(2) —— 关键技术 ^_^
fsjdgfcuvb的博客
11-14 998
近年来,尤其是深度学习出现之后,自然图像目标检测领域取得了一系列突破性的进展。早期的目标检测算法通常将检测视为一个在图像多个尺度上“滑动窗口遍历+目标背景二分类”的问题。因此,人们常常重点解决特征的表达能力、特征提取的时间效率、多尺度问题的加速方法等问题。最近几年提出的基于深度学习的检测算法则通常是在以下几个问题上寻求技术突破: 【关键技术1】 多尺度检测方法 目标检测中的“多尺度”问题含了...
说说算法题的那些事儿(2)
jiahao8915的专栏
12-12 1733
问题求解常见策略 偶数矩阵(Even Parity, UVa 11464) 给你一个n×n的01矩阵(每个元素非0即1),你的任务是把尽量少的0变成1,使得每个元素的上、下、左、右的元素(如果存在的话)之和均为偶数。比如,如图(a)所示的矩阵至少要把3个0变成1,最终如图(b)所示,才能保证其为偶数矩阵。 (a) (b) 图 【输入格式】 输入的第一行为
渗透工具.Burpsuite的使用[抓、重放爆破(多参数)]
02-23
渗透工具.Burpsuite的使用[抓、重放爆破(多参数)]
账号安全那些事儿
ducc20180301的博客
03-19 382
随着《网络安全法》正式成为法律法规,等级保护系列政策更新,“安全” 对于大部分企业来说已成为“强制项”。然而,网络空间安全形势日趋复杂和严峻。账号安全,也在不断的威胁着企业核心数据安全。 根据最新的 IBM 全球威胁调查报告《X-Force威胁情报指数2020》,受攻击网络中 60% 的初始访问都是利用以前窃取的凭据或已知的软件漏洞,从而使攻击者更少依赖欺骗来获取访问权限。 一、概述 以操作系统、数据库、网络设备运维视角设定账号,这类账号一旦设定,不能随时删除,因此,在员工离职、调岗等异动时不能通过删除账号
Brup Suite修改request/response
haha的博客
07-05 1517
Brup Suite
利用BurpSuite修改Response值的两种方法
热门推荐
nethm的专栏
05-09 2万+
1、开启代理拦截,直接修改Response值,如下图2、使用自动代理转发,如下图
burpsuit的安装及抓.改
2203_75773407的博客
10-29 387
首先安装java,点击红框内文件(如果以前安装过java并没有什么项目的话,建议将原来的java预载干净)如果抓的网站是以https开头的则需要先安装证书才能进行抓(证书的获取可以百度)点击红框,使其为intercept is on(开启状态),然后就可以开始抓了。以火狐浏览器为例,可以先下载一个叫FoxProxy的插件(下载流程可以百度)可以在左边的Raw中直接改,点击Send可以获得返回值。点击红框复制到一开始的二号框中,得到三号框的内容,复制。先将一号框的内容复制,再点击run。
【Web爆破攻击实战】真正的黑客 是怎样进入目标后台的?
jennycisp的博客
06-18 2634
在很多情况下,黑客在找不到其他途径进入 Web 管理后台时,就会采用暴力破解的方式来破解后台管理员的账号和密码。所谓暴力破解,就是使用“穷举法”,对用户名和密码进行逐个猜解,直至猜出来为止。虽然暴力破解显得不是很有技术含量,但确实最有效的一种方式。理论上来说,只要时间足够,终究会把用户名和密码猜解出来。为了提高暴力破解的效率,一般在破解时,都会使用字典。所谓字典,就是黑客会把自己认为的有可能是正确的密码,以及曾经碰到过的密码,写到一个文档里去,这个文档就是字典。
逻辑漏洞之密码重置
Fly_鹏程万里
06-01 1770
密码找回验证条件可社工1 只验证帐号是否存在即可修改密码2 只验证帐号与邮箱地址是否匹配即可修改密码3 只验证帐号与手机号是否匹配即可修改密码密码修改页面可预测案例介绍: 问题出现在忘记密码处,可以通过手机找回和邮箱找回密码两种方式获得指定帐户的新密码设置权限进入忘记密码,填写想要获取权限帐号的ID获得url选择邮箱找回获得url:系统已将新密码设置url发送给邮箱此时只需要将前面获取的url修改...
burp
xiziyunqi的博客
04-17 2079
burp #下载与安装 http://www.xue51.com/soft/36653.html #app的web漏洞挖掘 https://zhuanlan.zhihu.com/p/82513348 burp漏洞挖掘(转载) 设置: 1》proxy中options下的Proxy Listeners中点击edit,把Bind to address设置为All interfaces。 2》手机和电...
A128的暴力破解有哪些方法呢
05-21
A128是一种对称加密算法,暴力破解的方法括: 1. 穷举法:逐个尝试每一个可能的密钥,直到找到正确的密钥。这种方法的缺点是需要极大的计算量和时间成本。 2. 字典攻击:使用一个含常用密码、单词、短语等的字典,尝试其中的每一个可能的密钥。这种方法相对于穷举法会节省一部分计算量,但是仍然需要大量的计算资源和时间。 3. 已知明文攻击:如果攻击者能够获得一些已知明文和它们所对应的密文,那么可以利用这些信息来推导出密钥。这种方法需要攻击者先获取到一些明文和密文,因此需要具备一定的前置条件。 需要注意的是,A128算法的密钥长度为128位,因此即使是使用穷举法和字典攻击,也需要消耗巨大的计算资源和时间。因此,一般情况下,A128算法仍然被认为是安全的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值