暴力破解原理
根據我國網路安全法,僅用于網路安全交流學習,
暴力破解產生的原因是由于服務器端沒有做限制,導致攻擊者可以暴力破解的破解所需要的資訊,例如用戶名, 密碼,驗證碼;暴力破解的需要有有一個強大的字典,這也是暴力破解成功的關鍵,
這里是我保存的多種型別密碼的字典,此外還有字典生成工具;(需要各類工具的伙伴可以關注私信我)
比如:當你的姓名,生日,電話號等資訊泄露,惡意用戶會使用字典生成器,然后列出很多可能格式的密碼,通過暴力破解窮盡所有結果,
暴力破解實驗
實驗工具:火狐瀏覽器,burp suite,DVWA
實驗目的:通過暴力破方式破解密碼,熟悉暴力破解程序
實驗程序
1、在火狐瀏覽器,打開DVWA平臺,選擇暴力破解模塊;
隨便輸入用戶名和密碼,打開本地代理工具,選擇登錄
2、打開burpsuite抓包工具,抓取修改密碼資料包,并將資料包放入burp suite爆破模塊,如下:
3、選擇攻擊型別為cluster bomb,我們將要暴力破解的地方加上美元符號“$”因為他本身就帶有美元符號,所以可以先清除全部的美元符號在你需要加的地方加上美元符號,
4、我們需要爆破的第一個模塊是用戶名,點擊LOAD上傳,事先準備好的字典文本.txt檔案,然后選擇下拉框選擇2,同理上傳密碼字典,
5、點擊start attract開始爆破,這樣我的兩個字典就會產生映射,列舉出所有的結果,只要字典足夠強大,成功只是時間問題;
6、等一段時間,破解結果為:賬號admin,密碼666666,然后我們嘗試登錄,驗證結果;登錄成功
原始碼分析
服務器接受了GET引數,賬號和密碼引數;然后再資料庫查詢賬號密碼是否正確,若正確則登陸成功,這里沒有設定登陸限制次數,只要用戶一直嘗試登錄,就可以暴力破解,
暴力破解的防護
1、網站開發人員盡量有動態驗證
3、限制登錄次數閾值,超過限制登錄
4、同一IP多次登錄,鎖定此IP地址
2、輕易不要泄露自己的個人資訊
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/279367.html
標籤:其他
上一篇:執行緒