暴力破解是什么暴力破解的使用方法高级防御
什么是暴力破解
一种通过多种猜测和包罗万象的方法获取用户密码的攻击方式。 就是猜密码吧。 攻击者一直列举并提出请求,通过比较数据包的长度可以很好地判断爆破是否成功。 爆破成功与否长短不同,可以很好地判断爆破是否成功。
使用方法! doctypehtmlhtmlang=' en ' headmetacharset=' utf-8 ' title log in/title/headbodyh1username 3360 root, password 3360根/h1 formaction=' checklogin.JSP ' method=' post ' username 3360 input type=' text ' name=' username password : input type input type=' submit ' value=' submit '/form/body/html % @ charset=utf-8 ' pageeencoding=' utf-8 ' % request string username=request.getparameter (' username ); string password=request.getparameter (' password ); if(root ).equals(username ) root ).equals (password ) ) response.sendredirect (success.html ); } else { response.sendredirect (' fail.html ); 正如上面的代码所述,简单的表单将提交到后台,判断帐户,如果密码为root,则登录成功。
登陆模拟
burpsuite的包使用Intruder模块爆破
数据包:
设置爆破账户名称词典
设置爆破密码词典
点击爆破
如图所示,按长度顺序排列,第一个是爆破成功的结果。 登陆成功和登陆失败的长短不同,所以大多是失败,与众不同的是成功。 爆破高级词典的诀窍是什么? 使用top100等账户密码进行爆破,通过社会工作者获取目标信息,使用词典生成器生成词典进行爆破。 爆破目标如果有验证码,就要使用识别pkav和其他验证码的界面,避免在用户层面使用较弱的密码。 弱密码当然不仅像管理员,根,还有名字拼音。 连续字符等服务端可以对多次登录失败的账户,采取锁定ip使用短信验证码、语言验证码等的验证码方式。 通过设置阈值并在超过此阈值时验证使用复杂点的授权码,可以增加攻击者的攻击成本,以供用户体验