暴力破解漏洞

• 连续性尝试+字典+自动化
• 重点 需要一个良好的字典:1.常用的账号密码 2.社工库 3.指定的字符按照指定的规则进行排列组合生成特定的密码
• 1.概念：如果一个网站没有对登录接口实施防暴力破解的措施或者不合理，则该网站存在暴力破解漏洞
  • a.是否设置了复杂的密码
  • b.验证码是否可绕过
  • c.是否对登录行为进行判断和限制
  • d.是否在必要的条件下使用多因素认证
• 2.测试流程
  • a.确认登录接口的脆弱性
  • b.优化字典
  • c.自动化操作
  • 技巧:a.注册打点，了解密码规则 b.管理账号一般是 admin/administrator/root
• 3.burp中pasitions选项卡
  • sniper(狙击手):仅标注某一个变量，用1个payload去撞
  • batterning ram(冲撞车):可标注多个变量，用1个payload去撞
  • ptichfork(草叉):设置多个变量，每个变量用对应的字典一一对应的去撞
  • cluster bomb(焦束炸弹):设置多个变量，例如有name和pass变量，同时name 字典中有admin和root ，pass字典中有admin和123456，那么最终尝试的结果就是admin&admin,admin&123456,root&admin,root&123456
• 4.爆破后的结果筛选:options/Grep_Match
• 5.验证码的作用:a.防范登录时暴力破解b.区分机器和人
• 6.验证码请求流程
  • (1)客户端requests登录页面，后台生成验证码
    • a.后台使用算法生成图片，并将图片response给客户端 b.同时将算法生成的值全局赋值存储到session中
  • (2)校验验证码
    • a.客户端将认证信息和验证码一同提交 b.后台对提交的验证码与session进行比较
  • (3)客户端刷新页面，再次生成新的验证码
• 7.暴力破解的bypass
  • 客户端绕过:
    • a.前端js验证时，可直接删除js代码或者输入正确的验证码然后抓包
    • b.验证码在cookie中泄露
    • c.将验证码在前端源代码中泄露或者在数据包中泄露
  • 服务端绕过:
    • a.验证码在后台不过期
    • b.验证码校验不合格，出现逻辑问题
    • c.验证码设计的太简单或者有规律
    • d.图片识别技术
    • php默认的session过期时间是24分钟
  • token防爆破:
    • 再验证之前就可以在源码中获取到token