暴力破解

漏洞描述:

暴力破解的基本思想是根據題目的部分條件確定答案的大致范圍,并在此范圍內對所有可能的情況逐一驗證,直到全部情況驗證完畢。若某個情況驗證符合題目的全部條件,則為本問題的一個解;若全部情況驗證后都不符合題目的全部條件,則本題無解。常常存在于網站的登錄系統中,通過對已知的管理員用戶名,進行對其登錄口令的大量嘗試。


測試方法:

找到網站登錄頁面。利用burp對登錄頁面進行抓包,將其發送到Intruder,并設置其密碼參數,如pwd=為變量,添加payload(字典),進行攻擊,攻擊過程中查看其返回的字節長度,來判斷是否成功。

常見暴力破解有三種形式:

1) 固定賬號對密碼暴力破解。

2) 在得知賬號具有規律性,或者通過某種方式獲取到大量賬號的前提下,固定密碼對賬號暴力破解。

3) 使用網上流傳的賬號密碼庫進行撞庫攻擊。

風險分析攻擊者一般會使用自動化腳本組合出常見的用戶名和密碼,即字典,再結合軟件burpsuite的intruder功能進行暴力破解。


風險等級:

】:存在暴力破解風險,但未暴破出密碼。


修復方案:防止暴力攻擊的一些方法如下:

1 賬戶鎖定

賬戶鎖定是很有效的方法,因為暴力破解程序在5-6次的探測中猜出密碼的可能性很小。但是同時也拒絕了正常用戶的使用。如果攻擊者的探測是建立在用戶名探測成功之后的行為,那么會造成嚴重的拒絕服務攻擊。對于對大量用戶名只用一個密碼的探測攻擊賬戶鎖定無效。如果對已經鎖定的賬戶并不返回任何信息,可能迷惑攻擊者。

2 返回信息

如果不管結果如何都返回成功的信息,破解軟件就會停止攻擊。但是對人來說很快就會被識破。

3 頁面跳轉

產生登錄錯的的時候就跳到另一個頁面要求重新登錄。比如126和校內網都是這樣做的。局限性在于不能總是跳轉頁面,一般只在第一次錯誤的時候跳轉,但是第一次之后又可以繼續暴力探測了。

4 適當的延時

檢查密碼的時候適當的插入一些暫停,可以減緩攻擊,但是可能對用戶造成一定的影響。

5 封鎖多次登錄的IP地址

這種方法也是有缺點的,因為攻擊者可以定時更換自己的IP。

6 驗證碼

驗證碼是阻止暴力攻擊的好方法,但設計不好的驗證碼是可以繞過的,而且對于特定目標的手工探測來說驗證碼是沒有作用的。

?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容

  • 一、爆破原理 顧名思義,暴力破解的原理就是使用攻擊者自己的用戶名和密碼字典,一個一個去枚舉,嘗試是否能夠登錄。因為...
    Jewel591閱讀 11,196評論 4 7
  • 一、暴力破解概述 連續性嘗試+字典+自動化 二、 暴力破解測試流程 1.確認目標是否存在暴力破解漏洞 抓包驗證,查...
    閉眼就能看得見閱讀 2,974評論 2 1
  • 她,個性孤傲,是獨來獨往的女飛賊;她,雖有傾城容顏卻無人問津;她的生命中仿佛只有自己;她被人們視為無惡不...
    飛向沙漠的種子閱讀 364評論 0 0
  • 會穿衣服的女人總是招人喜歡的,這句話真的不假,說的就是馬蘇,跟著馬蘇來看看,這些單品穿起來,你也可以美的成女神有么...
    時尚心情閱讀 636評論 1 1
  • 也許你正在忙 也許你正在把我想 長空雁去無留意 愿彼此守好靈魂的殿堂 秋葉漸漸黃 天氣...
    山月笛閱讀 201評論 0 0