暴力破解与验证码安全
2021-12-11 02:08:25 0 举报AI智能生成
无
作者其他创作
大纲/内容
注意事项
1、破解前一定要有一个有郊的字典(Top100 TOP2000 csdn QQ 163等密码)
2、判断用户是否设置了复杂的密码
3、网站是否存在验证码
4、尝试登录的行为是否有限制
5、网站是否双因素认证、Token值等等
漏洞产生位置
注入点及万能密码登录
不安全的用户提示,一般提示用户名不存在或密码及验证码错误
查看登录页面源代码,是否存在敏感信息泄露
不安全的验证码
在注册帐号的时候是否是否存在不安全的提示
不安全的密码,在注册帐号的时候,密码没有限制复杂度
在暴力破解的时候未限止ip,锁定用户
一个帐号可以在多地登录,没有安全提示
帐号登录之后,应该具备超时功能
任意无限注册帐号
OA、邮件、默认帐号等相关系统,在不是自己注册的情况下,应该在登录之后要强行更改密码
逻辑漏洞,任意密码重置
越权漏洞,纵向,横向越权
数据包含有敏感信息泄露,如cookice
不安全的数据传输,密码为明文,未使用https证书
任意文件下载
暴力破解分类
C/S (即客户端/服务器)
Bruter
hydra
-R 继续从上一次进度接着破解。
-S 采用SSL链接。
-s PORT 可通过这个参数指定非默认端口。
-l LOGIN 指定破解的用户,对特定用户破解。
-L FILE 指定用户名字典。
-p PASS 小写,指定密码破解,少用,一般是采用密码字典。
-P FILE 大写,指定密码字典。
-e ns 可选选项,n:空密码试探,s:使用指定用户和密码试探。
-C FILE 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数。
-M FILE 指定目标列表文件一行一条。
-o FILE 指定结果输出文件。
-f 在使用-M参数以后,找到第一对登录名或者密码的时候中止破解。
-t TASKS 同时运行的线程数,默认为16。
-w TIME 设置最大超时的时间,单位秒,默认是30s。
-v / -V 显示详细过程。
-S 采用SSL链接。
-s PORT 可通过这个参数指定非默认端口。
-l LOGIN 指定破解的用户,对特定用户破解。
-L FILE 指定用户名字典。
-p PASS 小写,指定密码破解,少用,一般是采用密码字典。
-P FILE 大写,指定密码字典。
-e ns 可选选项,n:空密码试探,s:使用指定用户和密码试探。
-C FILE 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数。
-M FILE 指定目标列表文件一行一条。
-o FILE 指定结果输出文件。
-f 在使用-M参数以后,找到第一对登录名或者密码的时候中止破解。
-t TASKS 同时运行的线程数,默认为16。
-w TIME 设置最大超时的时间,单位秒,默认是30s。
-v / -V 显示详细过程。
B/S (浏览器/服务器)
基于表单的暴力破解
基于验证码暴力破解
on client(客户端校验)常见问题:不安全的前端js实现验证码;不安全的将验证码在cookie中泄露;不安全的将验证码在前端源代码中泄露
on server (服务端校验)常见问题:验证码在后台不过期,导致长期使用(php默认session是24分钟过期);验证码校验不严格,逻辑出现问题;验证码设计的太过简单和有规律的被猜解
弱验证码识别攻击
基于Token破解(音叉)
由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般Token在防止CSRF上会有比较好的功效。
破解方式为音叉;线程数设为1;Grep-Extract设置好开始token" value=" 结束为" /> ;有郊载荷设为递归搜索
"token" value="
"token" value="
暴力猜解与安全防范策略
1) 强制要求输入验证码,否则,必须实施IP策略。 注意不要被X-Forwaded-For绕过了!
2) 验证码只能用一次,用完立即过期!不能再次使用(默认24分钟过期)
3) 验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。
4) 大网站最好统一安全验证码,各处使用同一个验证码接口。
分支主题
0 条评论
下一页
