Burp suite是由portswigger开发的一套用于Web渗透测试的集成套件,它包含了spider,scanner(付费版本),intruder,repeater,sequencer,decoder,comparer等模块,每个模块都有其独特的用途,给专业和非专业的 Web渗透测试人员的测试工作带来了极大的便利。该程序使用Java写成,需要 JRE 1.4 以上版本 这是一个可以用于攻击Web 应用程序的集成平台。Burp 套件允许一个攻击者将人工的和自动的技术结合起来,以列举、分析、攻击Web 应用程序,或利用这些程序的漏洞。各种各样的burp 工具协同工作,共享信息,并允许将一种工具发现的漏洞形成另外一种工具的基础。
二、Burp suite下载及使用
运行suite.bat,就可以使用了,前提是你要装jre 或配置java运行环境
命令: Java –jar burpsuite_v1.4.jar
输入邮箱、密码(这里我输入的是123456)、昵称。
输入好之后点击注册同时用bp抓包(抓包前bp需先设置好代理,不会的请百度)。可以看到post数据中只有三个数据,并没有token神马的东西。那么只要这里没有限制post请求时间间隔限制,理论上就存在暴力注册了。
选择将这条post数据send to intruder
在positions中设置clear掉所有的变量,仅留下nick(这个是注册时候的用户名)
在payloads中导入自己之前写好的用于注册的帐号的字典(我这里导入了30个帐号用于测试)。
选择intruder的start attack进行暴力注册
2秒钟就执行完毕了30个帐号的注册
理论上来说整个过程已经测试完毕,但是我们还要验证下是否注册成功。随便选个帐号去登录下,选一个就可以了,因为上面的length显示的是一样的都是392,所以就是要么全部成功,要么全部失败。结果证明之前的分析和测试是完全没问题的,注册的帐号可以成功登录,不信你们自己试试(测试暴力注册的帐号:px0001到px0030 一共30个,密码:123456)。
如果我注册几十万的账户呢?你们的数据库会不会爆?服务器不知道能不能扛得住。。。
修复方案:
1 添加验证码
2 post数据加token
3 限制post请求发送的频率