阿图什网站,可以做电算化的网站,网站开发技术期末考试题,红河州网站建设文章目录 1、暴力破解概述2、基于表单的暴力破解3、验证码的绕过3.1 验证码的认证流程3.2 验证码绕过#xff08;on client#xff09;3.3 验证码绕过#xff08;on server#xff09;3.4 token防爆破#xff1f; 1、暴力破解概述 “暴力破解”是一攻击具手段#xff0c;… 文章目录 1、暴力破解概述2、基于表单的暴力破解3、验证码的绕过3.1 验证码的认证流程3.2 验证码绕过on client3.3 验证码绕过on server3.4 token防爆破 1、暴力破解概述 “暴力破解”是一攻击具手段在web攻击中一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录直到得到正确的结果。 为了提高效率暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说大多数系统都是可以被暴力破解的只要攻击者有足够强大的计算能力和时间所以断定一个系统是否存在暴力破解漏洞其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略导致其被暴力破解的“可能性”变的比较高。 这里的认证安全策略, 包括
是否要求用户设置复杂的密码是否每次认证都使用安全的验证码或者手机otp是否对尝试登录的行为进行判断和限制如连续5次错误登录进行账号锁定或IP地址锁定等是否采用了双因素认证
2、基于表单的暴力破解
1随便输入用户名和密码并用burp进行抓包 2把数据包send to intruder 3选择cluster bomb模式将usename和password作为变量 4设置payload并导入字典然后进行穷举。 5根据length查看结果可知用户名为admin密码为123456。 3、验证码的绕过
3.1 验证码的认证流程
1客户端request登录页面后台生成验证码
后台使用算法生成图片并将图片response给客户端同时将算法生成的值全局赋值存到SESSION中。
2校验验证码
客户端将认证信息和验证码一同提交后台对提交验证码与SESSION里面的进行比较。
3客户端重新刷新页面再次生成新的验证码 4验证码算法中一般包含随机数所以每次刷新都会改变。
3.2 验证码绕过on client
不安全验证码on client常见问题
使用前端js实现验证码纸老虎将验证码在cookie中泄露容易被获取将验证码在前端源代码中泄露容易被获取。
1随便输入账号密码不输入验证码提示请输入验证码输入错误验证码提示验证码输入错误输入正确验证码提示账号密码错误。 2由于验证码每次会变我们无法从验证码这块进行暴力破解。查看页面的源码看一下这个验证码是不是在前端做的发现验证码是在javascript实现的。 3既然验证码是前端做的可以通过以下方法绕过验证码
删除事件禁用javascript;用burp抓包绕过。 这里我们先正确填写验证码再使用burp抓包然后爆破。 3.3 验证码绕过on server
不安全验证码on server常见问题
验证码在后台不过期导致可以长期被使用验证码校验不严格逻辑出现问题验证码设计的太过简单和有规律容易被猜解。
1通过抓包随便输入账号密码不输入验证码提示请输入验证码输入错误验证码提示验证码输入错误输入正确验证码提示账号密码错误。 2验证验证码是否存在不过期的问题发现验证码可以重复使用。 3使用同样的方法进行爆破。 3.4 token防爆破
1这关没有验证码了用户名或者密码输错会提示用户名或密码不存在。 2抓取两次登录的数据包然后放到compare里进行比较查看二者的区别 3尝试直接用第一/二次的token试试报crsf token error
4尝试删除token发现同样不行 5在返回包里发现了下一次验证的token试试能不能绕过验证。事实证明返回包里的token就是下一次验证的token。 6使用burp的intrude模块进行爆破选择pitchfork。最好知道用户名因为在pitchfork模式下如果你的字典只有100个密码组合burp只执行100次。 前一个变量的设置跟之前一样最后token的设置选择recursive grep。 设置payload直接选择你需要的位置burp会自动生成正则表达式。 设置最大线程为1并进行爆破。
