暴力破解与验证码安全

暴力破解与验证码安全,第1张

暴力破解 :暴力破解简单来说就是将密码进行逐个测试,直到找出正确的密码为止

    暴力破解:是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作

    暴力破解漏洞:如果一个web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高

暴力破解前准备 :

    1. web系统的认证安全策略:

        是否要求用户设置复杂的密码;

        是否每次认证都使用安全的验证码

        是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等)

        是否采用了双因素认证

        认证过程是否带有token信息

2.工具准备:准备合适的暴力破解工具以及一个有郊的字典

三个要点:

       1. 对目标网站进行注册,搞清楚帐号密码的一些限制,比如目标站点要求密码必须是8位以上,字母数字组合,则可以按照此优化字典,比如去掉不符合要求的密码

        2. web管理面密码使用admin/administrator/root帐号的机率较高,可以使用这三个帐号+随便一个密码字典进行暴力破解

        3. 破解过程中一定要注意观察提示,如有“用户名或密码错误”“密码错误”“用户名不存在”等相关提示,可进一步利用

暴力破解分类 :

    B/S模式:浏览器服务器模式的认证过程是http协议实现的,因此可以用burpsuite抓包工具来破解

        1. 不带验证码的认证的破解:可直接使用burpsuite加密码字典破解

        2. 带验证码的认证的破解:如果是前端验证可使用burpsuite抓包绕过验证码来暴力破解,如果是后端验证,可使用爆破工具(如pkav)外接验证码识别器来暴力破解。(如果后台验证过程中验证码没有立即销毁,此验证码可使用24分钟)

        3. 带token信息的认证的破解:(Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,客户端带上token代表具有执行某些操作的权利)token信息每次都不一样,需要burpsuite将服务器返回的token取出用于下一次请求。

    C/S模式:客户端服务器模式的认证过程有多种协议实现的,因此需要用专用的集成化破解工具来破解,例如 Hydra、Bruter、X-scan

        工具:

            Bruter:密码暴力破解工具

            Hydra:hydra是著名黑客组织thc的一款开源的暴力密码破解工具,支持多种协议,可以在线破解多种应用密码。

暴力破解的防范 :增加web系统的认证安全策略

    要求用户设置复杂的密码

    每次认证都使用安全的验证码

    对尝试登录的行为进行判断和限制

    采用双因素认证

    认证过程带token信息

验证码安全 :

        是一种区分用户是计算机还是人的全自动程序,可以防止:密码暴力破解、刷票、论坛灌水。可有效防护黑客对特定用户的密码暴力破解。

验证码分类 :

    Gif动画验证码

    手机短信验证码

    手机语音验证码

    视频验证码

验证码常见安全问题 :

    客户端问题

    服务端问题

    基于Token验证

    验证码太简单,容易被机器识别

    暴破验证码

验证码安全防护 :

    1) 强制要求输入验证码,否则,必须实施IP策略。 注意不要被X-Forwaded-For绕过了!

    2) 验证码只能用一次,用完立即过期!不能再次使用

    3) 验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。

    4) 大网站最好统一安全验证码,各处使用同一个验证码接口

思路点:暴力破解和验证码安全破解时也可以熟悉认证业务过程,并试图在业务过程中寻找业务逻辑漏洞。

弱口令:属于暴力破解漏洞的一种,是web认证界面使用了常用的或者较简单的用户名密码,使暴力破解变得简单。

你要破解什么东西的?

破解工具还需要字典哈~~!一般用木头的~!~1

下一步就是破解了,破解密码最常用的办法是穷举,也就是暴力破解了。你可以下一个暴力破解器。我推荐 Pw Check 1.02 ,这个软件虽说是破解共享软件注册码的,其实就是一个暴力破解器,使用方法:首先在按键一和按键二都选择Enter,保存设置,然后读取一个字典,打开OICQ,选择你想破解的号码,随意输入一个密码,选登录,它会弹出一个对话框“输入密码与上次成功登录的密码不一致,是否到服务器验证”(除了你运气好得没话说,一次对了,这个对话框就不会出现 ^-^)选“否”,然后在“请再次输入登录密码”对话框的空白处按下*键,就开始破解了,再次按*键停止。停止后可以保存进度,以便下次可以继续进度,字典输入完后会自动停止。这个工具免费注册。 破解密码要用到字典,还有网友来信问我什么是字典,你真是!@#$%,字典是你所猜测密码的组合,格式通常为DIC,TXT,一行一个,破解器会逐行取出测试,直到密码正确和字典用完为止。这里你可以用本站字典工具中的 万能钥匙 ,它是一个符合中国人习惯的字典生成机。生成的字典大小最好不要大于10Mb,要是字典过大可以用分割软件将其分成几个部分。否则容易死机!!!

帐户策略里面做一条帐户密码错误两次,自动禁用该账户N分钟。你永远也别想暴力破出管理员密码,这是指没有改过管理员默认帐户的,如果人家该了默认的管理员帐户,并且新建了一个陷阱管理员帐户,密码超级复杂,就算不做帐户策略,让你暴力破解,你想想你要到什么时候能破解出来一个没有用的账户密码。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/156188.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-03-22
下一篇2023-03-22

发表评论

登录后才能评论

评论列表(0条)

    保存