密码爆破
没有采用或者采用了比较弱的认证安全策略,导致其被爆破的“可能性”变的比较高
B/S暴力破解
使用burpsuite抓包破解
账户接管案例: https://xz.aliyun.com/t/6330
C/S暴力破解
使用的破解工具 Hydra、Bruter、X-scan
防爆破方式
1、密码设置的复杂点,长度、多种字符、不允许特殊字符、不使用
2、加入验证码
3、限制登录次数
验证码安全
验证码实现功能的原理:
1.客户端发起一个请求
2.服务端响应并创建一个新的 SessionID 同时生成一个随机验证码。
3.服务端将验证码和 SessionID 一并返回给客户端
4.客户端提交验证码连同 SessionID 给服务端
5.服务端验证验证码同时销毁当前会话,返回给客户端结果
故而可能在以下四个方面设计验证码
客户端、服务端、验证码本身、验证码流程
客户端问题
1、使用JavaScript进行验证
使用F12将验证码的框去掉,输入正确用户密码即可登录
2、验证码存放在cookie中(情景:一开始没有验证码,当用户或密码输入错误达到k值后出现验证码)
服务端问题
1、未及时销毁验证码&