暴力破解
一、简介
1、定义
暴力破解是一种针对密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。
2、产生原因
由于服务器端没有做限制,导致攻击者可以通过暴力的手段破解所需信息。
3、注意事项
破解器一定要有一个有效的字典,判断用户是否设置了复杂的密码、网站是否存在验证码、尝试登陆的行为是否有限制、网站是否双因素认证、Token值等。
对目标网站进行注册,搞清楚账号密码的一些限制,比如目标站点要求密码必须是否是8位以上、字母数字组合,则可以按照此优化字典,去掉不符合要求的密码。
如果破解的是管理后台密码,可以使用admin、administrator、root等账号,机率较高,可以使用这三个账号+随便一个密码字典进行暴力破解,在破解过程中要注意观察提示,如“用户名或密码错误”、“密码错误”、“用户名不存在”等相关提示。
二、C/S架构暴力破解
1、定义
C/S即客户端/服务器,基于C/S架构的应用程序,如ssh、ftp、SQL-Server、MySQL等,这些服务往往提供一个高权限的用户,而这个高权限的用户往往可以进行执行命令,如SQL-Server的sa,MySQL的root,Oracle的sys和system,使用这些高权限的用户能在很大程度上给开发人员带来方便,但如果口令被破解带来的危害也是相当大的。
2、破解工具
C/S架构主要使用:Hydra、Bruter、X-scan。
二、B/S架构暴力破解
1、定义
B/S即浏览器/服务器,客户机安装浏览器,服务器安装数据库,浏览器通过Web Server同数据进行数据交户。一般是对Web应用程序中的高权限用户进行破解,如网站的内容管理系统账号。
2、破解工具
B/S架构主要使用:BurpSuite。
三、暴力破解防御措施
1、密码复杂度
密码长度为8-16位,至少有一个小写字母、大写字母、数字和特殊字符。
密码不可以与账户有关联,密码中不可以出现手机号、邮箱生日之类的敏感信息。
2、验证码
设置防暴力破解的验证码
3、锁定密码阈值
如果用户登陆的次数超过设置的阈值,则锁定账号。文章来源:https://www.toymoban.com/news/detail-429165.html
如果某个IP登陆的次数超过设置的阈值,则锁定IP。文章来源地址https://www.toymoban.com/news/detail-429165.html
到了这里,关于暴力破解漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
