暴力破解与验证码安全——BS架构暴力猜解

最新推荐文章于 2024-02-01 10:56:03 发布
最新推荐文章于 2024-02-01 10:56:03 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: web渗透测试与代码审计 #+ 暴力猜解与验证码安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43079958/article/details/105522737
版权

BS架构暴力猜解

浏览器与客户端之间的破解,一般有一个web页面,针对web站点暴破

一般是对 web 应用程序中的高权限用户进行猜解,如网站的内容管理系统账户。一般针对 B/S 的暴力猜解,我们使用 Burp Suit 镜像表单爆破。

操作流程

一般情况

填写账号密码文本框,抓包,发到测试器
选择攻击类型
清除变量
在有效荷载选项(简单列表)选择字典模式,进行上传
开始攻击,找到返回值与其他的数据不一样的一条

理解BurpSuit Intruder几种攻击方式,之前的burp使用中我写过一些,这个连接比较全面,更加深入
https://www.cnblogs.com/Kevin-1967/p/7762661.html

API接口暴力猜解

API 接口暴力猜解参考 https://xz.aliyun.com/t/6330
(漏洞出现原因API接口不需要身份验证就可以访问)

抓包时发现/api/类似的端点格式,却无法确定哪一个API端口用于登录,这时候可以用字典暴破
7KBscan中有很多用于这类暴破字典

			关于返回值:
			404不存在
			405数据包类型不对
				转换post 或Get

观察响应消息,有可以让我们利用的firstneme,emile之类的信息,更改后添加到post数据包部分,相当于通过接口直接创建了一个账户,而且这个账户很可能有管理员权限,且可以绕过前端所有对账号的要求

温柔小薛
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
暴力破解-破解 Apache BASIC 认证
Cwillchris的博客
08-03 384
可以看到 DVWA 的登录页面是存在 user_token 的,如果每次提交新密码时都使用同一个 token,服务器通常来说是不处理我们的请求的。把刚获取到的最新的有效 token 复制到递归搜索中,因为原数据包中的 token 在我们提取 token 的时候被使用了,所以这里需要设置一个有效的 token。添加关键词匹配admin,如果服务器返回的应答包中存在对应的关键词,则对该请求进行标记,用于验证是否成功,一般暴力破解选择的关键词:用户名、登录提示、页面特征。...
暴力破解验证码安全之——暴力猜解概述
温柔小薛的博客
04-14 1733
暴力猜解概述 暴力猜解简单来说就是将密码进行逐个推算,直到找出真正的密码为止 暴力破解注意事项 破解前一定要有一个有郊的字典(Top100 TOP2000 csdn QQ 163等密码);判断用户是否设置了复杂的密码、网站是否存在验证码、尝试登录的行为是否有限制、网站是否双因素认证(等保中对管理员后台的要求,例如只允许某个IP访问,通过堡垒机,手机短信等)、Token值等等 对目标网站进行注册,...
暴力破解之ApacheBASIC认证
枫梓林のBlog
05-05 1404
暴力破解-破解 Apache BASIC 认证 文章目录暴力破解-破解 Apache BASIC 认证0x01 通过暴力破解web登录页面获得管理员权限1.分析后台登录页面源代码2.使用 bp进行暴力破解0x02 使用 burpsuite 破解 web 站点0x03 配置Apache 的基本认证 Basic Authentication1.什么是Basic Authentication2.Apache 配置 BASIC 认证0x04 暴力破解 Apache BASIC 认证1.创建一个密码文件2.使用b
暴力破解
niqiu320的博客
04-22 3082
暴力破解简介 暴力破解或称为穷举法,是一种针对账号、密码的破译方法,即将账户、密码进行逐个推算直到找出真正的密码为止。 暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。 暴力破解的危害 恶意用户登录 服务器沦陷 敏感信息泄露 用户密码被重置 敏感目录、参数被枚举 用户订单被枚举 。。。。。。 暴力破解的分类 从不同的架构来讲主要分为两种 - 基于B/S架构暴力破解 登录框(
验证码暴力破解测试
酷狗直播-锦凡歆的博客
05-23 2888
验证码机制主要被用于防止暴力破解、防止DDoS攻击、识别用户身份等,常见的验 证码主要有图片验证码、邮件验证码、短信验证码、滑动验证码和语音验证码。 以短信验证码为例。短信验证码大部分情况下是由4~6位数字组成,如果没有对验证 码的失效时间和尝试失败的次数做限制,攻击者就可以通过尝试这个区间内的所有数字来 进行暴力破解攻击。 作者: 锦凡歆在‘来疯’直播唱歌最好听 ...
java毕业设计——基于BS架构微博系统(论文+开题报告+答辩PPT+源代码+数据库+讲解视频).zip
05-29
java毕业设计——基于BS架构微博系统(论文+开题报告+答辩PPT+源代码+数据库+讲解视频).zip java毕业设计——基于BS架构微博系统(论文+开题报告+答辩PPT+源代码+数据库+讲解视频).zip java毕业设计——基于BS架构...
cs与bs架构区别分析
08-03
cs与bs架构区别分析 C/S架构(Client/Server,客户端/服务器模式)与B/S架构(Browser/Server,浏览器/服务器模式)是两种常见的软件架构模式,用于描述客户端和服务器端之间的交互关系。在本文中,我们将详细比较...
基于BS架构的在线学习与推荐系统源码+数据库+论文+演示视频.zip
最新发布
06-30
基于BS架构的在线学习与推荐系统源码+数据库+论文+演示视频.zip 个人大四的毕业设计、经导师指导并认可通过的高分设计项目,评审分98.5分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也...
基于Java开发的BS架构微博系统设计与实现.doc
06-14
【基于Java开发的BS架构微博系统设计与实现】 在当今信息爆炸的时代,互联网技术的快速发展为人们提供了丰富多样的信息获取途径。微博作为其中的重要一环,已经成为人们日常生活中分享和交流信息的主要平台。它凭借...
CS架构BS架构的概念和区别.doc
05-24
"CS架构BS架构的概念和区别" CS架构(Client/Server架构)和BS架构(Browser/Server架构)是两种常见的软件架构模式,它们之间有着很大的区别。 CS架构 CS架构是一种典型的两层架构,其全程是Client/Server,即...
Python武器库开发-武器库篇之FTP服务暴力破解(五十三)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-01 1802
FTP (File Transfer Protocol) 是一种用于在网络上传输文件的协议。它允许用户通过一个客户端应用程序连接到远程服务器,并通过该服务器传输文件。FTP 服务是在互联网上广泛使用的一种服务,它使用户能够在不同计算机之间快速、安全地共享文件。FTP 服务有两个主要角色:客户端和服务器。客户端是用户使用的应用程序,用于连接到远程服务器并进行文件传输。用户可以使用客户端应用程序进行上传和下载文件,管理文件和目录,以及执行其他与文件操作相关的任务。服务器是提供 FTP 服务的计算机。
Burp Suite 暴力破解演示
黑面狐
09-11 3342
弱口令是安全问题里面最为严重的问题之一。 可以进行暴力破解的也是有条件限制的。 1.没有验证码,有验证码就不好进行有效的暴力破解。 2.没有多次登录失败后,禁止登录的机制 3.没有禁止同IP多次尝试登录。 等等。 所以要找符合这样的要求的站点还是很难的,so我自己写了个丑陋的演示环境。 演示环境源码: 登录页面login.php 暴力破解演示 用户名:
暴力破解_burp
94小菜
01-04 1509
目录简介漏洞挖掘绕过修复建议案例1、基于无效验证码暴力破解JSON格式的登录基于token的暴力破解认证登录 简介     描述: 将密码进行逐个推算,直到找出真正的密码为止     分类: BS架构(浏览器)、CS架构(客户端)     工具: burp、Hydra、Bruter等 漏洞挖掘 准备工作: 需要强大的字典(包括默认的账号密码) 网站登录密码的复杂度(注册页面可看) 验证
暴力破解攻击——基于B/S架构常见检测方式
qq_41453632的博客
11-23 1175
远程通讯法: 第一,确定攻击目标,凡是需要账号密码的地方都可以是攻击目标(常见的web形式); 第二,建立socket通信,为提高效率,通常是多线程; 第三,输入正确的账号(根据实际可对账号进行暴力枚举); 第四,通过字典档或规则生成的待测试的密码; 第五,发送密码,取得验证反馈; 第六,拒绝密码,重复第四步起,如果密码通过,程序停止,显示密码。 本地破解法: 第一,将密码档中的账...
黑马程序员_三层架构之用户登陆(BS架构
youzilong202的专栏
07-05 1161
------- Windows Phone 7手机开发、.Net培训、期待与您交流! -------
BS模式验证码生成器及表单校验
listennerBGM的博客
03-11 614
验证码生成涉及的点: (1)图像生成 (2)随机字符串的生成 (3)将随机出的字符串保存到Session (4)前端显示 后台校验涉及的点: (1)数据获取 (2)脚本过滤 (3)取保存到Session的验证码并校验 1.工具类编写 public class TextUtils { private TextUtils() { } /// <summary&gt.
B/S验证控件总结
11-13 2404
在做BS的项目时,对输入有限制,需要很多验证。下面我们介绍一下各个验证控件以及正则表达式。 1.非空验证    对于非空验证我们常用的是ASP.NET的控件:RequiredFieldValidator。重要属性:ControlToValidate:要验证的控件名称;ErrorMessage:错误提示信息。   例子:判断用户名和密码是否已经输入。    代码:        
用VFP开发BS模式验证码的两个模式,让你网站更安全
加菲猫的VFP
12-28 573
网站上的验证码一般放在登录或注册页面。它的作用是保护网站安全,一般网站都要通过验证码来防止机器大规模注册,机器暴力破解数据密码等危害。 虽然有了验证码的存在,登录变得麻烦一点,但是对于网站安全来说,这个功能还是很有必要的。 我们利用VFP祺佑框架开发BS网站,也会遇上这样的问题,所以为了网站安全,也需要为我们开发的网页上加上验证码。 库和工具说明: 前端:vue+axios​ 后端:VFP祺佑三层开发框架 在网站上增加验证码,有两种方式:前端生成前端判断;后端生成后端判断。接下来我们详细阐述一下。 第一
BS学习总结
weixin_34168700的博客
12-07 274
花了八个月的时间总算是把BS学习完了,从牛腩新闻发布系统开始对Web网页设计有了了解,并不断通过接下来的项目不断学习,深入学习前端知识。本来打算是花六个月左右的时间完成这个项目的,中间穿插着有机房合作、一次软考,还有就是暑假的时候大概花了一个月的时间参加了廊坊人事系统重构项目。在项目当中也对BS知识进行了巩固性学习。尤其是对前台设计这一块中web前端设计。当时参加项目的时候...
图书馆管理系统设计与实现——基于BS架构
"基于BS的图书馆管理系统.pdf是一个教育领域的文档,详细介绍了如何设计和实现一个基于浏览器-服务器(Browser-Server)架构的图书馆管理系统。该系统旨在提高图书馆管理的效率,减少人工操作的繁琐和错误,实现信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值